Sentencia Nº 001299 de Sala Primera de la Corte, 18-09-2025

*210004781028CA*

Exp. 21-000478-1028-CA

Res. 001299-F-S1-2025

SALA PRIMERA DE LA CORTE SUPREMA DE JUSTICIA. S.J.é, a las quince horas cinco minutos del dieciocho de setiembre de dos mil veinticinco.

En el proceso de conocimiento formulado por KARI ELEANOR MEYERS SKREDSVIG, profesora universitaria pensionada, portadora de la cédula de identidad número 800910934, representada por su apoderado especial judicial, A.án A.O., abogado, portador de la cédula de identidad número 107430316 y del carné de colegiado número 5.865 contra el BANCO NACIONAL DE COSTA RICA, con cédula de persona jurídica número 4-000-001021, representado por su apoderado generalísimo sin límite de suma, J.M.V.íquez, contador público y máster en administración de empresas, portador de la cédula de identidad número 401540809; por su apoderado general judicial, A.és G.C.H.ández, abogado, portador de la cédula de identidad número 402010892 y del carné de colegiado número 27.818; y por sus apoderados especiales judiciales, K.A.J.énez, abogada, portadora de la cédula de identidad número 113880025 y del carné de colegiada número 23.904 y A.és H.ández J.énez, abogado, portador de la cédula de identidad número 114230013 y del carné de colegiado número 32.744; el apoderado especial judicial de la entidad bancaria formuló recurso de casación impugnando la sentencia número 2024000102 de las 11 horas 54 minutos del 09 de enero de 2024, emitida por el Equipo Seis del Tribunal Contencioso Administrativo y Civil de Hacienda del Segundo Circuito Judicial de San José, integrado por las personas juzgadoras C.A.G.ómez (ponente), J.é R.G.N. y D.A.M.éndez.

Redacta el magistrado Leiva Poveda

CONSIDERANDO

I. Acorde a los hechos acreditados por el Tribunal, no cuestionados por el casacionista, en lo medular, se tiene que la señora K.E.M.S. es una persona adulta mayor. Ha sido clienta del Banco Nacional de Costa Rica (BNCR) desde hace 30 años y, para el mes de febrero del año 2021, mantenía con esta entidad una relación comercial de consumo, mediante la cual era titular de distintos productos financieros: a) cuenta corriente en colones no. 100-01-000-138555-8, la cual se abrió el 12 de enero de 1994; b) cuenta de ahorros en dólares no. 200-02-036-542137-0, abierta el 24 de marzo de 2003; y c) tarjeta de crédito aprobada y activada el 21 de diciembre de 2016. Entre el mes de julio del año 2019 y el de febrero de 2021, su cuenta de ahorro en dólares la utilizaba para ganar intereses y cancelar, básicamente, los servicios públicos y médicos, anualidades de la tarjeta Servibanca, el pago de la tarjeta de crédito y algunas transferencias a sus hijos. En su cuenta corriente en colones, recibía el importe de su pensión mensual y el pago de algunas dietas y se debitaba el pago de servicios públicos, técnicos y médicos. De la tarjeta de crédito, arreglos del carro y pago de empleada doméstica. La funcionaria G.B.V. es ejecutiva bancaria del BNCR. En junio del año 2020 asumió una cartera de, aproximadamente, 400 clientes preferentes, dentro de los cuales estaba incluida doña K.E.. En el mes de junio del año 2020, contactó por teléfono a la señora M.S. y le informó que el BNCR la había asignado como su ejecutiva bancaria. La atendió por correo, teléfono y, algunas veces, en su casa de habitación. El 11 de febrero de 2021, el código de usuario 800910934, presentaba activo el servicio de Teclado Virtual y el servicio de OTP del token. Aproximadamente a las 13 horas, doña K.E. recibió una llamada telefónica de una persona que se identificó como una funcionaria del BNCR. Le indicó que tenía que acudir al Banco a cambiar su token, pero la comunicación no fue muy buena. Minutos después, recibió otra llamada de una persona que se identificó como el licenciado J.B.údez, quien le manifestó que era el nuevo ejecutivo que le había asignado el BNCR. Le señaló que, para la sustitución del token tenía que ir al Banco. Doña K. le indicó que tanto ella como su esposo eran adultos mayores, que por la situación de la pandemia preferían salir lo menos posible de la casa, a lo que la persona identificada como J.B.údez le dijo que podrían avanzar con el trámite por medio de la plataforma digital del Banco y que él la podría ayudar en forma remota, para lo cual debía ingresar a la siguiente página del BNCR: serviciosdigitalesbn-fi.com. La señora Meyers Skredsvig ingresó a ese sitio web, el cual parecía exactamente igual al del BNCR. Escribió su nombre, usuario y token solo esa única vez. Llenó una solicitud para token nuevo. Luego, la persona identificada como J.B.údez le aseveró que le entregarían el token al día siguiente, lo cual no sucedió. Doña K. no utilizó más el token para nuevos códigos. Ese día, con el código de usuario 800910934 se efectuaron los siguientes movimientos por internet banking: a) [...] Solicitud de código de seguridad (Tipo de envío=C) en Afiliación o cambio a S.T.; I.ón 800910934 [...]"; b) "[...] Deshabilitar GGA-000PWS_HWToken- Clase Usuario: Número cliente 96310; I.ón 800910934 [...]; c) [...] Habilitar GGA-000PWS_SWToken-Clase Usuario: Número cliente 96310; I.ón 800910934 [...]; d) se incluyeron o agregaron tres cuentas favoritas a nombre de Y.P.P.érez O. (13:28:28), G.N.B. (13:28:28 pm) y L.A.P.H. (14:4:28); e) se cambió el límite diario de transferencias al cliente, de ¡2.000.000,00 a ¡7.500.000,00. De igual manera, con el código de usuario 800910934 se efectuaron los siguientes movimientos por Internet Banking en las cuentas de la señora M.S.: a) de la cuenta corriente en colones no. 100-01-000-138555-8, cinco transferencias TFT, las cuales corresponden a transferencias hacia otros bancos vía (SINPE) y registra un pago de Convenios, que corresponde a la cancelación de servicios utilizando la plataforma de IB; b) de la cuenta de ahorros en dólares no. 200-02-036-542137-0, tres pagos de Convenios, que corresponden al pago de servicios utilizando la plataforma de IB. Los montos retirados de la cuenta corriente en colones no. 100-01-000-138555-8 y de la cuenta de ahorros en dólares no. 200-02-036-542137-0, ascienden a las sumas de ¡18.902.400,00 y US. $44.701,98, respectivamente. El 12 de febrero de 2021, en horas de la mañana, doña K. se enteró de las transacciones efectuadas en sus cuentas y procedió a interponer una denuncia ante el Organismo de Investigación Judicial (O.I.J.), a la cual se le asignó el número único 21-003586-0042-PE. Después de esa denuncia, la ejecutiva bancaria G.B.V. recibió la orden de dejar de atender a la señora M.S.. El 17 de febrero de ese año, doña K. se presentó a la sucursal del BNCR de Moravia a realizar la solicitud y configuración de su token llavero. El 14 de mayo del mismo año, presentó un reclamo administrativo ante el BNCR, en relación con las transacciones efectuadas el 11 de febrero sin su autorización, en sus cuentas corriente y de ahorros.

II. Mediante escrito subido al expediente judicial electrónico el 06 de abril de 2021 a las 20:54:39, imágenes de la 1 a la 84, el apoderado especial judicial de la señora K.E.M.S., licenciado A.án A.O., interpuso este proceso de conocimiento en contra del BNCR, a fin de que en sentencia, conforme al ajuste efectuado en la audiencia preliminar celebrada el 20 de octubre de 2021 (minuta a imágenes 196 a 200), en forma principal: se condene al BNCR al pago de: a) la totalidad de los daños ocasionados por las transferencias y pago de servicios fraudulentos en perjuicio de su representada, que ascienden a la suma de ¡32.644.698,00; b) de los intereses legales, que serán ejecutados en etapa de proceso de ejecución; y c) las costas del proceso. En forma subsidiaria, en caso de que en sentencia se declare una responsabilidad concurrente con el BNCR por los hechos ocurridos, solicitó se cuantifique el importe de los daños emergentes ocasionados a su representada, en relación a la responsabilidad civil concurrente del accionado por la realización de las transferencias bancarias y pago de servicios hechas en perjuicio de su mandante, suma a ser determinada por el Despacho. En resolución de las 11 horas 37 minutos del 26 de abril de 2021, el Tribunal Contencioso Administrativo tuvo por establecido este proceso de conocimiento (imágenes de la 90 a la 92). En escrito presentado al Despacho el 24 de junio de 2021, subido al expediente judicial electrónico ese día a las 13:40:53, imágenes de la 96 a la 172, el apoderado general judicial del BNCR se opuso a la demanda. Formuló las defensas de falta de: derecho y legitimación en la causa activa y pasiva. Además, invocó las eximentes de responsabilidad de culpa de la víctima y hecho de un tercero. El Tribunal, en la sentencia ahora objetada, rechazó dichas excepciones; al igual que las eximentes de responsabilidad. En consecuencia, declaró con lugar la demanda. Acogió las pretensiones principales de la siguiente manera: 1) declaró la responsabilidad civil objetiva del ente bancario demandado por el daño ocasionado a la actora, como consecuencia de los movimientos y las transacciones realizadas sin su autorización en sus cuentas corriente en colones y de ahorro en dólares, el 11 de febrero de 2021; 2) condenó al BNCR a reintegrarle a la actora las sumas debitadas de manera no autorizada, producto de las transferencias realizadas el 11 de febrero del 2021 desde las indicadas cuentas. R.ón por la cual, dispuso, deberá cancelarle a la accionante los montos de: a) US. $44.701,98 y b) ¡5.600.000,00. Señaló, la suma que en definitiva se cancele, no podrá exceder de ¡32.644.698,00, por haberlo limitado así la parte actora en sus pretensiones; 3) sobre la suma que en definitiva se gire, condenó al BNCR al pago de los intereses legales, desde el 11 de febrero de 2021 y hasta el efectivo pago. Dichos réditos, señaló, deberán calcularse según las tasas establecidas en el numeral 497 del Código de Comercio; 4) le impuso al Banco accionado el reconocimiento de las costas de este proceso, extremo que, señaló, deberá determinarse y liquidarse en fase de ejecución de sentencia, una vez firme el pronunciamiento. Sobre este extremo, el juez A.M.éndez puso nota; 5) por la forma como se resolvió, omitió pronunciamiento sobre las pretensiones secundarias o subsidiarias formuladas. Disconforme, el apoderado especial judicial del BNCR interpuso recurso de casación. Para un mejor análisis, se reordenarán los reparos según la técnica de la casación -artículo 150 del Código Procesal Contencioso Administrativo (CPCA)-.

III. RECURSO POR QUEBRANTO DE NORMAS PROCESALES. En el único agravio por este motivo casacional, segundo acorde al orden del recurso, página 10 del libelo, el recurrente invocó el vicio de incongruencia. R., en lo de su interés, lo considerado en la sentencia no. 76-2013 de las 14 horas 45 minutos del 07 de noviembre de 2013, emitida por el Tribunal Contencioso Administrativo y Civil de Hacienda. Según señaló el Tribunal, expuso, la litis se trabó en relación con los hechos controvertidos de la demanda y la contestación. Es obligación de las personas Juzgadoras, dijo, dirimir el conflicto en estricto apego de los hechos controvertidos, que son el objeto principal del proceso. Lo anterior, manifestó, es de especial relevancia para el caso concreto, pues, de la lectura del libelo de demanda no se aprecia ningún hecho relacionado con la presunta responsabilidad del Banco, en tesis del Tribunal, derivada por no exigirle a la demandante contar con el mecanismo de seguridad de firma digital. En consecuencia, relató, toda la parte considerativa, que sirvió de fundamento a la condenatoria en contra de su mandante, derivó, no de los argumentos de hecho y de derecho objeto de esta lite, definida por las partes; sino, por una tesis jurídica que introdujo el Tribunal en la sentencia, respecto de la cual, su representado no tuvo oportunidad de conocer, rebatir ni ofrecer prueba tendiente a acreditar la ajenidad del daño en relación con esa posición. El hecho de introducir en la sentencia una presunta responsabilidad civil objetiva del Banco por no dotar de firma digital a la demandante, sin que lo hubiera expuesto en su demanda, afirmó, transgredió el principio de congruencia, y sitúa a su mandante en una posición de indefensión, ya que se le obliga, no solo a defenderse de la teoría del caso de la actora; sino también, de la del Tribunal, cuestión que, concluyó, produce la nulidad de la sentencia por indefensión.

IV. El recurrente olvidó que esta instancia procesal no corresponde a un recurso ordinario (como es el de apelación). Tampoco resulta suficiente manifestar una serie de disconformidades generales y meramente argumentativas. Es menester el contraste de lo decidido con la infracción que, en su criterio, tuvo lugar. Al respecto, el numeral 139 inciso 3 del CPCA prevé un requerimiento de orden material necesario, tanto para la admisibilidad del recurso cuanto para su posterior valoración por el fondo. Se trata de la motivación del recurso que, por las características de la casación, ha de ser clara y precisa. En este sentido, debe contener, tal como lo dispone el precepto de comentario, la fundamentación fáctica y jurídica del caso. Fáctica, en la medida en que se muestre inconforme con los hechos que se han tenido por demostrados o por indemostrados (lo cual lleva a la ponderación de las probanzas), o con las circunstancias acaecidas en la violación de normas procesales. Jurídica, cuando se trata de un problema que se expone acerca de la aplicación, omisión o indebida interpretación de cualquier norma que integre el bloque de juricidad, incluidos, por supuesto, los principios de rango constitucional, o aquella que también opera por efecto reflejo o indirecto, después de que se modifican los hechos de la sentencia impugnada. Tanto en la infracción procesal, como en la probatoria, puede concurrir, junto con las razones jurídicas (siempre necesarias), las de carácter fáctico y, en ese sentido, los fundamentos de referencia deberán ser dirigidos en ambas vertientes, so pena de inadmisibilidad. Por su parte, es necesario aclarar que de la fundamentación jurídica se exonera, por expreso mandato legal, la indicación de aquellos cánones relativos al valor del elemento o elementos probatorios mal apreciados. De igual forma, resulta innecesario citar las normas que equivocadamente utilizó y mencionó el órgano jurisdiccional de instancia para emitir y razonar su decisión, porque constan en el mismo pronunciamiento recurrido. Y desde luego, no es para nada indispensable citar los preceptos que establecen los requisitos, plazos y reglas básicas para la admisión del recurso. Antes que la cita de estas últimas, lo imprescindible es que se cumplan, que se pongan en práctica al momento de elaborar e interponer la casación. Así las cosas, la fundamentación dispuesta por ley, puede entenderse, grosso modo, como aquella argumentación técnico-jurídica en la que se mencionan una serie de artículos, o reglas jurídicas entrelazadas o concatenadas entre sí y vinculadas razonablemente en una doble perspectiva: con los argumentos del recurso y con la sentencia que se ataca. En la medida en que se cite un conjunto de normas jurídicas (o si es del caso, una sola de ellas), atinente y vinculada de manera clara con la sentencia combatida (ya sea en el sustento de hecho o derecho) y los argumentos del recurso, hay fundamentación jurídica. Los agregados jurisprudenciales o las eventuales citas doctrinales, reforzarán en ocasiones las alegaciones efectuadas, pero, por lo general, no hacen a su esencia. Como ya lo ha indicado esta Sala interpretando el artículo 139 de referencia, se requiere que el recurso cuente con una fundamentación jurídica mínima ... deben explicarse las razones en las cuales sustenta su gestión, combatiendo los argumentos de derecho de la sentencia recurrida y consignando, al menos, alguna referencia normativa que le dé sustento (Resolución no. 318-A-2008, de las 14 horas 25 minutos del 8 de mayo del 2008). La fundamentación es, por tanto, ajena al despliegue confuso de normas y alegatos; a la mezcla de argumentos ininteligibles o a la simple exposición de opiniones sobre la procedencia o justicia del caso, o bien, al recuento de los desaciertos que se consideran cometidos en la sentencia recurrida, sin respaldo en normas o criterios jurídicos. De allí que, si el recurso omite por completo esa relación técnico-normativa a la que se ha hecho referencia, o la que realiza, resulta impertinente o desvinculada al caso de manera manifiesta y evidente, habrá que entender que carece de total fundamentación jurídica, y por tanto, incumple el necesario requisito establecido en el numeral 139.3, que se sanciona con el rechazo de plano, a tenor de lo dispuesto en el artículo 140 inciso c) del mismo Código de rito. del mismo Código de referencia. De igual manera, esta Sala, en forma reiterada, ha señalado, para que un recurso pase el control de admisión, se precisa, además de la suficiente exposición de motivos, la correspondiente mención y vinculación con la sentencia cuestionada de las normas aplicables que se estimen infringidas. En este sentido pueden consultarse, entre otras resoluciones, las nos. 677-A-S1-2021 de las 09 horas 40 minutos del 25 de marzo de 2021 (https://nexuspj.poder-judicial.go.cr/document/sen-1-0004-1029345); 755-A-S1-2022 de las 10 horas 55 minutos del 29 de marzo de marzo (https://nexuspj.poder-judicial.go.cr/document/sen-1-0004-1082042); y 1663-A-S1-2022 de las 10 horas 05 minutos del 21 de julio (https://nexuspj.poder-judicial.go.cr/document/sen-1-0004-1112340) , ambas del año 2022.

V. El meollo de lo argüido por el impugnante en la censura en estudio consiste en que, a su entender, el Tribunal incurrió en el vicio de incongruencia, pues, el argumento de que el BNCR es responsable por la sustracción del dinero de las cuentas de ahorro y corriente de la actora, al no exigir la utilización de la firma digital, no fue alegado por ella en su demanda. Por las razones que se expondrán de seguido, la censura no es de recibo. PRIMERO. El casacionista omitió cumplir con su deber, tal y como la técnica de la casación se lo impone, de citar la norma adjetiva que resultó violentada, brindando la explicación, clara y precisa, de cómo sucedió la infracción, según se expuso en el apartado anterior, acorde a lo preceptuado en el ordinal 139 inciso 3) del CPCA. Esto torna informal el reparo imponiéndose su rechazo de plano. En relación, pueden consultarse, entre muchas otras, las resoluciones de esta Sala nos. 2082-A-S1-2020 de las 10 horas 10 minutos del 23 de julio (https://nexuspj.poder-judicial.go.cr/document/sen-1-0004-995194) y 2940-A-S1-2020 de las 14 horas 20 minutos del 15 de diciembre; ambas del año 2020 (https://nexuspj.poder-judicial.go.cr/document/sen-1-0004-1016496).

VI. Sin perjuicio de lo indicado en el apartado anterior y, a mayor abundamiento de razones, es menester indicar lo siguiente. SEGUNDO. En el apartado IX de la sentencia cuestionada el Tribunal identificó el riesgo o vulnerabilidad del sistema de seguridad en la plataforma denominada Internet Banking del BNCR, que denominó la identificación de las personas frente al uso de los servicios de la banca electrónica. (Lo resaltado es del original). En lo de interés expuso: [&] es necesario tener presente que hasta la entrada en vigencia de la Ley de Certificados Digitales, Firmas Digitales y Documentos Electrónicos (no. 8454 del 30 de agosto del 2005), en nuestro país, la identificación de una persona se constataba a partir de la presentación del documento identidad que correspondiera, siendo éste en la mayoría de los casos, la cédula de identidad. Tratándose de los servicios bancarios, el cliente se presentaba físicamente en las oficinas bancarias, presentaba su cédula o documento de identidad al funcionario quien constataba para su identificación física. Con la entrada en vigencia de la Ley No. 8454, se establece la firma digital, misma que se define en el artículo 8 como: [&] Para el Tribunal, resulta fundamental resaltar que estas dos son las formas de identificación personal que están legalmente establecidas en nuestro ordenamiento jurídico. El Tribunal entiende que producto de las necesidades del mercado, el desarrollo de la tecnología (en particular, del internet), los proveedores de servicios bancarios opten, como práctica comercial, por proponer o plantear al consumidor financiero otras formas de identificación, distintas a la física o a la firma digital que, reiteramos, son las que están por ley. Pero, al fin de cuentas, se trata de formas pactadas (no de fuentes legales) en el marco de una relación comercial o de consumo, que surgen a partir de las necesidades del mercado y que se han convertido en prácticas comerciales del sector financiero bancario como parte de la diversificación de su portafolio de servicios y agilidad transaccional. [&] el Tribunal reconoce que en la prestación de los servicios bancarios coexistan algunas de estas otras formas pactadas, como lo son el uso de las tarjetas de crédito o de débito, las claves o los números de PIN para el uso de los cajeros electrónicos, el teclado virtual o los Token, entre otras; las cuales se utilizan como mecanismos para constatar la identificación de una persona y fijar mecanismos de control de ingreso a los servicios financieros en línea. [&] se trata de formas no reguladas en fuente legal ni física, en la medida que no se trata de la persona mostrando su documento de identidad e identificándose frente a un cajero humano, ni utilizando su firma digital certificada. [&] el Tribunal insiste en que si bien se entiende que por necesidades del mercado, oferta y demanda, así como con base en la libertad de contratación, las entidades bancarias adopten o se inclinen, como decisión empresarial, por éstas otras formas de identificación virtual distintas a las legalmente establecidas; dado que no todas las personas cuentan con firma digital, por el costo que ésta conlleva. Pero, lo cierto es que la utilización de estas otras formas de identificación virtuales que, en principio resultan válidas y que son pactadas normalmente en los contratos bancarios (que en su mayoría son de adhesión), sin duda conllevan riesgos que, en nuestro criterio, necesariamente deben ser asumidos por la entidad bancaria proveedora del servicio de banca electrónica que es quien obtiene los beneficios que derivan de esta actividad financiera; de modo que, no sería admisible que éstos se pretendan atribuir al consumidor financiero, con tal de no asumirlas ellos. Tiene claro el Tribunal que ningún sistema, por seguro que sea, es totalmente inmune a fallos, pero estimamos que estos riesgos deben ser ponderados o gestionados por el ente financiero, para reducir la probabilidad de la materialización del peligro (riesgo), esto es, la sustracción de los dineros dados en custodia. [&] en el caso que nos ocupa, el uso de estas otras formas de identificación pactadas, no reguladas en fuentes legales, constituyó un riesgo que debe asumir el BNCR, primero, porque la decisión de optar por mecanismos de identificación virtuales distintos de los legalmente establecidos (como lo fue, en este caso, el Token) fue una decisión empresarial de ese ente. Lo anterior a pesar de que desde el año 2010 había implementado los certificados digitales como uno de los mecanismos de seguridad opcional para la banca electrónica. Reiteramos que el solo uso de los medios digitales para la oferta de servicios financieros implica un riesgo, por el canal utilizado. [&] Segundo, porque si es el BNCR quien lucra con la actividad bancaria y de intermediación financiera, está obligado a garantizar la seguridad de las operaciones realizadas, ya sea en ventanilla o en cualquier otro medio puesto a disposición de los clientes; la cual debe abarcar, necesariamente, el uso de todos aquellos dispositivos disponibles que le permitan contar con un mayor grado de certeza en cuanto a la identificación de las personas que estén facultadas para realizar transacciones electrónicas desde las cuentas. [&] En este sentido, nótese que el artículo 10 de la Ley no. 8454 citada establece una presunción de autoría y responsabilidad conforme a la cual [&]; la cual ciertamente no resulta extendible, por ejemplo, a la utilización de un Token. [&] se ha tenido por acreditado que el 11 de febrero del 2021, se efectuaron una serie de movimientos y transacciones en forma electrónica en las cuentas de la actora, que ella afirma que no realizó. El informe DS-632-2021, que aportó el BNCR únicamente establece que "(...) las mismas fueron realizadas con el código de usuario 800910934, el cual está asignado a K.E.M.S., por ende, para todos los efectos del Banco Nacional, las transacciones fueron lícitas y realizadas por el titular (es) / autorizado (s) pues se realizaron con el (pin, código de usuario, contraseña, información de las tarjetas y OTP del Token) que obran exclusivamente en su poder (...)" (imagen 149 del expediente judicial digital escaneado en un único archivo PDF). Como se observa, ciertamente el informe no afirma ni concluye que se haya constatado su identidad física o se haya utilizado la firma digital certificada de doña K. (únicas identificaciones legales); de modo que no es posible establecer certera y jurídicamente, que fuera ella quien accesara al sistema, ni la autenticidad o integridad de los movimientos o transacciones realizadas. A lo sumo, permite inferir que los movimientos y las transacciones se hicieron con la identidad virtual pactada y asociada a la cuenta, en este caso, el Token. Pero ello, en nuestro criterio, es insuficiente para establecer la autoría o responsabilidad, en este caso, de doña K., respecto de los movimientos y transacciones realizadas en línea ese 11 de febrero del 2021 (hechos no probados 3 y 4); pues solo el uso de una firma digital certificada hubiera permitido identificar en forma unívoca a doña K. y vincularla jurídicamente con las transacciones realizadas. [&]. (Lo subrayado es suplido). Luego, en el Considerando X agregó: Aunado a lo anterior, lo cierto es que, aún partiendo de que para la fecha en que acaecieron los hechos, el cambio de Token hipotéticamente hubiese podido efectuarse desde la plataforma de internet banking, estimamos que la única manera en la que podía presumirse que este movimiento lo efectuara la accionante, es que la solicitud hubiese sido firmada digitalmente (certificada), pues éste el único medio legal mediante podría [sic] identificarse en forma unívoca a doña K. y vincularla jurídicamente como autora de esa solicitud; aspecto que aquí no ha sido acreditado (hecho no probado 14). (Lo subrayado no es del original). Y, en el apartado XII añadió: En ese sentido, estimamos que es el ente bancario que lucra con los servicios financieros ofrecidos en la modalidad de Internet Banking, quien ha de asegurarse la utilización de sistemas informáticos y administrativos que, desde el punto de vista jurídico permitan, con certeza, la acreditación de la identidad física o digital legal del usuario (verbigracia, el uso obligatorio del certificado digital o firma digital) o, incluso, valorar, en el marco de su autonomía administrativa, el establecer la utilización de dispositivos que reduzcan los riesgos y acrediten con un mayor grado de certeza la identidad del cliente, tales como las herramientas biométricas, esto a fin de contar con sistemas que permitan la pre constitución de prueba. Lo anterior, en la medida que el banco no solo responde por la fortaleza de sus sistemas internos; sino también, por la seguridad de quien, para llegar allí, utiliza los únicos canales posibles que el propio Banco conoce y reconoce como riesgosos. Y responde en la medida en que constituye el medio del que se prevalece, directamente, para la prestación del servicio. (Lo subrayado es suplido).

VII. De lo anteriormente transcrito se determina lo siguiente. A. El tema de la firma digital no es una cuestión de congruencia del fallo; sino, la aplicación del principio procesal de iura novit curia (es decir, el órgano juzgador sabe o conoce cuál es el derecho aplicable ante el asunto a él sometido). Como se colige de la transcripción efectuada en el apartado anterior, lo efectuado por el Tribunal fue aplicar la Ley no. 8454 del 30 de agosto de 2005, Ley de Certificados, Firmas Digitales y Documentos Electrónicos, la cual dispone y regula la firma digital como medio de identificación por medios electrónicos. Señalaron las personas Juzgadoras, se trata, al igual que la identificación personal, de un medio legalmente establecido por el ordenamiento jurídico, brindando un alto grado de seguridad. B. De igual manera, el Tribunal fue claro al manifestar que las formas de identificación virtual pactadas entre el Banco y la persona consumidora en los contratos de los servicios bancarios -que, por lo general son de adhesión-, también son válidas; pero, conllevan riesgos que debe asumir la entidad bancaria. Sin embargo, este fundamento del Tribunal no fue cuestionado por el casacionista en el agravio en estudio. En este punto, esta Cámara estima que tanto las formas identificadas por el Tribunal como legalmente establecidas (la identificación personal y la firma digital) y las pactadas contractualmente, son autorizadas por el ordenamiento jurídico. Véase que, en cuanto las segundas, el ordinal 411 del Código de Comercio dispone que los contratos de comercio, como el de esta lite, no están sujetos, para su validez, a formalidades especiales. Por su parte, el canon 628 íbid indica que, para el retiro de fondos de una cuenta corriente debe hacerse por medio de fórmulas especiales que el Banco suministrará; pero, también puede consentir en otras formas en casos especiales. Además, tanto la Ley no. 8454 como el Decreto Ejecutivo no. 33018 del 20 de marzo de 2006, Reglamento a la Ley de Certificados, Firmas Digitales y Documentos Electrónicos, regulan la autenticación, siendo definida en el segundo cuerpo normativo como V.ón de la identidad de un individuo. De ahí que esta Cámara no comparte el aserto del Tribunal en el sentido de que solo la identificación física y la firma digital son los medios legales previstos en el ordenamiento jurídico. En lo que sí concuerda es que, las formas de autenticación, al ser pactadas entre el Banco y el cliente o consumidor por medio de contratos de adhesión, conllevan riesgos en su utilización que deben ser asumidos por la entidad prestataria del servicio.

VIII. TERCERO. En el Considerando IX del fallo objetado, lo cual tampoco fue cuestionado por el recurrente, las personas juzgadoras indicaron: Es importante resaltar que, según se extrae del documento emitido por la Dirección de Seguridad Informática del BNCR, DSI-025-2019 del 20 de marzo del 2019, relacionado con los controles de seguridad implementados por ese ente, los certificados digitales constituyen uno de los componentes del servicio de Internet Banking del BNCR desde el primero de noviembre del 2010, aunque claramente esa entidad no ha exigido su uso obligatorio para algunos movimientos y las transacciones en línea, puesto que coexiste con otros componentes como el Teclado Virtual y los Token (imágenes 113 a 144 del expediente judicial digital escaneado en un único archivo PDF). [&] En este punto, resulta revelador que en el peritaje rendido, ante una pregunta realizada por el perito Barrantes Fallas al BNCR, M.A.H., funcionario de Soporte Operativo de Canales Digitales de Dirección de Soporte al Negocio - SGO del BNCR, contestó que ese ente cuenta con los siguientes factores de autenticación: clave de acceso, firma digital de SINPE, Token (Llavero o APP en el celular) y código de verificación; y que la firma digital era "(...) el nivel de seguridad por excelencia (...)" (imágenes 262 a 264 del expediente judicial digital escaneado en un único archivo PDF); y sin embargo, la decisión empresarial adoptada por el BNCR, insistimos, se inclinó por permitir el uso de otros tipos de identificación pactadas (como en este caso, el Token) que legalmente no garantizan la identidad de quien la utiliza ni la autenticidad e integridad, en este caso, de las transacciones bancarias efectuadas en línea; como si lo haría, por ejemplo, la firma digital. Luego, en el apartado X, señalaron: Consta en el peritaje la respuesta que brindó el BNCR a algunas consultas planteadas por el experto. Respecto a la inclusión de cuentas favoritas, se indicó que "(...) Es requisito indispensable que cada cuenta favorita sea incluida mediante dos mecanismos que utilizan estos factores. " Con solo ingresar con la firma digital (es el nivel de seguridad por excelencia) y la cuenta se incluye directamente. " Con cuatro factores de autenticación (Token para ingresar, Token para ingresar a la transacción de inclusión de cuentas, Código de verificación. En este caso, la cuenta tiene un tiempo de activación de 4 horas posteriores a la inclusión y requiere que el cliente ingrese en ese lapso a aprobar esa afiliación para que quede en firme. (...)" (imágenes 253 a 268 del expediente judicial digital escaneado en un único archivo PDF). (Lo subrayado no es del original). De lo transcrito se colige con meridiana claridad, el tema de la firma digital fue introducido al debate por el propio BNCR con la prueba que aportó; al igual que con la experticia que se practicó. Es decir, distinto a lo argumentado, se trata de un tema que fue invocado en el proceso.

IX. CUARTO. Manifestó el objetante: [&] en consecuencia toda la parte considerativa que sirve de fundamento a la condenatoria en contra del banco deriva, no de los argumentos de hecho y de derecho objeto de la litis definida por las partes sino por una tesis jurídica que introduce el Tribunal hasta en fase de sentencia y respecto de la cual el banco no tuvo oportunidad de conocer, rebatir ni ofrecer prueba tendiente a acreditar la ajenidad del daño en relación con dicha tesis jurídica. (Lo resaltado no es del original). Distinto a lo argumentado por el recurrente, el Tribunal no se basó, únicamente, en el argumento de la no exigencia de la firma digital para imputarle responsabilidad al BNCR por el hurto del dinero de la actora. Como se expondrá más adelante, las personas Juzgadoras, además de dicho argumento, expusieron nueve riesgos o vulnerabilidades más que, en su criterio, presentó el sistema de seguridad del Banco, lo cual facilitó que los delincuentes hurtaran el dinero de la actora de sus cuentas de ahorro y corriente, conllevando que no se produzca la ajenidad al daño, único motivo de exclusión de responsabilidad del productor, proveedor o comerciante, previsto en el artículo 35 de la Ley no. 7472 del 20 de diciembre de 1994, Ley de Promoción de la Competencia y Defensa Efectiva del Consumidor (para futuras citas, Ley de Defensa del Consumidor). Sin embargo, como se indicará, el recurrente no los cuestionó en debida forma.

X. RECURSO POR TRANSGRESIÓN DE NORMAS SUSTANTIVAS. En la primera objeción, cuarta acorde al orden del recurso, página 13, alegó el impugnante el motivo casacional previsto en el artículo 138 inciso a) del CPCA: También procederá el recurso de casación por violación de normas sustantivas del ordenamiento jurídico, en los siguientes casos: / a) Cuando se atribuya a la prueba una indebida valoración o se haya preterido. Ello por cuanto, indicó, el Tribunal estimó que los sistemas de seguridad del Banco fallaron, en el tanto la sustracción ilícita de los fondos realizadas por los delincuentes en las cuentas de la demandante (hecho de un tercero) se realizaron con un único OTP, lo cual, señaló, no se sostiene a la luz del peritaje que consta en autos. El experto, de forma amplia, clara y detallada, anotó, expuso cuáles son los mecanismos de seguridad necesarios para ingresar al sistema de Internet Banking para realizar las distintas transacciones. Además, añadió, para el caso en concreto de las transacciones objeto de esta lite, se encuentra consignado en el informe no. DS-632-2021, visible a imágenes 145 a 151 del expediente judicial digital. Dichas pruebas, expuso, son contestes en acreditar que, a partir del suministro de la clave y el OTP generado por el token, los delincuentes ingresaron al sistema y lograron cambiar el hardware token por el software token y utilizaron los OTP's y códigos de seguridad generados por el propio sistema para perpetrar los hechos delictivos. De haberse considerado dichas pruebas de forma correcta, aseveró, el Tribunal hubiera acreditado que los sistemas del Banco, en ningún momento, resultaron vulnerados o, bien deficientes. Todo lo contrario, apuntó, los sistemas permitieron que se realizara el ingreso a las cuentas de la demandante solo cuando se proveyó la información de ingreso y las credenciales requeridas para autenticarse frente al sistema. Una vez acreditado lo anterior, expuso, en los términos del artículo 704 del Código Civil (transgredido por falta de aplicación), en lo relativo a la causalidad adecuada, la única derivación posible es que el daño se produjo por la actuación negligente de la clienta al entregar su información confidencial, lo que excluye, a su vez, concluyó, la responsabilidad objetiva directa del Banco por aplicación de los ordinales 190 y 35 (hecho de un tercero y culpa de la víctima).

XI. En cuanto al tipo de responsabilidad que subyace en esta lite, aspecto que no fue cuestionado por el casacionista, el Tribunal, en el apartado VIII de la sentencia cuestionada, señaló: [&] A juicio de este Tribunal, el anterior elenco fáctico pone en evidencia, de inicio, la existencia de una relación de consumo entre el BNCR y la accionante; lo que habilita, como se ha señalado ut supra, la aplicación del régimen de responsabilidad objetiva previsto en el artículo 35 de la Ley No. 7472. [&] dentro de esa relación jurídica de consumo que mantenían la accionante y el ente bancario demandado, claramente existen obligaciones recíprocas tanto para el consumidor como para el prestatario y promotor del servicio, que obligan a este último a brindarlo en forma eficiente, ininterrumpida y dentro de los márgenes adecuados de seguridad e información. [&] el BNCR, en calidad de proveedor debía cumplir con la prestación de un servicio eficiente y continuo, dentro de los márgenes de seguridad bancaria y cumpliendo con las obligaciones previstas en el artículo 34 de la Ley de la LPCDEC [Ley de Defensa del Consumidor]. (Lo subrayado es suplido). Asimismo, en el apartado IX agregó: [&] de la valoración de las diferentes pruebas admitidas y evacuadas en este proceso, estos juzgadores identificamos distintos riesgos acaecidos en el servicio de banca electrónica prestado por el BNCR a la aquí actora, el día 11 de febrero del 2021; cuyo manejo, por parte de la entidad bancaria demandada, en nuestro criterio, no se aviene a los estándares de seguridad que deben privar en este servicio que resulta claramente riesgoso y que, estimamos, deben ser asumidos por el BNCR, dada su posición de dominio en la relación de consumo, respecto de la aquí actora. (Lo subrayado es suplido). De igual manera, en el Considerando XIII señaló: [&] se acreditó la existencia de una relación de consumo entre la aquí actora y el BNCR, en la cual acaecieron riesgos anormales e imputables a ese ente público que sirven como criterio de imputación para la generación de un daño patrimonial ocasionado a la aquí accionante, en mengua de los derechos del consumidor. El daño reclamado se concreta por el riesgo producido por el propio BNCR respecto de la utilización de la plataforma tecnológica del servicio de internet banking que ofreció, en este caso, a la aquí actora. Así, el efecto lesivo se considera consecuencia de la falta de implementación de mecanismos de seguridad adecuada para la utilización de los servicios de transferencias electrónicas que se posibilitan en internet banking que ofrece el BNCR. Ello pone en evidencia la existencia del nexo causal que es debido para poder imputar la responsabilidad en este tipo de situaciones. [&] el BNCR está obligado a garantizar la seguridad de las operaciones realizadas, ya sea en ventanilla o en cualquier otro medio puesto a disposición de los clientes, la cual debe abarcar, necesariamente, el uso de todos aquellos dispositivos disponibles que le permitan contar con el mayor grado de certeza en cuanto a la identificación de las personas que estén facultadas para realizar transacciones electrónicas desde las cuentas. (Lo subrayado es suplido).

XII. Pese a su extensión, y por la trascendencia para esta lite, es menester reproducir lo que esta Cámara, desde vieja data, ha indicado en torno a este tipo de responsabilidad. III.- Responsabilidad objetiva por riesgo en materia del consumidor. En lo que se refiere a la responsabilidad, se pueden ubicar dos grandes vertientes, una subjetiva, en la cual se requiere la concurrencia, y consecuente demostración, del dolo o culpa por parte del autor del hecho dañoso (v.gr. el cardinal 1045 del Código Civil), y otra objetiva, que se caracteriza, en lo esencial, por prescindir de dichos elementos, siendo la imputación del daño el eje central sobre el cual se erige el deber de reparar. Como ejemplo de lo anterior, se encuentra el numeral 35 de la Ley de Defensa Efectiva del Consumidor, en donde el comerciante, productor o proveedor, responderá por aquellos daños derivados de los bienes transados y los servicios prestados, aún y cuando en su actuar no se detecte negligencia, imprudencia, impericia o dolo. Asimismo, es importante considerar, por su influencia en el tema probatorio, que los elementos determinantes para el surgimiento de la responsabilidad patrimonial, sea esta subjetiva u objetiva, son: una conducta lesiva (la cual puede ser activa o pasiva, legítima o ilegítima), la existencia de un daño (es decir, una lesión a un bien jurídico tutelado), un nexo de causalidad que vincule los dos anteriores, y en la mayoría de los casos la verificación de un criterio de atribución, que dependerá del régimen legal específico. En cuanto a la causalidad, es menester indicar que se trata de una valoración casuística realizada por el juzgador en la cual, con base en los hechos, determina la existencia de relación entre el daño reclamado y la conducta desplegada por el agente económico. Si bien existen diversas teorías sobre la materia, la que se ha considerado más acorde con el régimen costarricense es la de causalidad adecuada, según la cual existe una vinculación entre daño y conducta cuando el primero se origine, si no necesariamente, al menos con una alta probabilidad según las circunstancias específicas que incidan en la materia, de la segunda (en este sentido, pueden verse, entre otras, las resoluciones 467-F-2008 de las 14 horas 25 minutos del 4 de julio de 2008, o la 1008-F-2006 de las 9 horas 30 minutos del 21 de diciembre de 2006). En este punto, es importante aclarar que la comprobación de las causas eximentes (culpa de la víctima, de un hecho de tercero o la fuerza mayor), actúa sobre el nexo de causalidad, descartando que la conducta atribuida a la parte demandada fuera la productora de la lesión sufrida. En lo que se refiere a los distintos criterios de imputación, para los efectos del presente caso, interesa la teoría del riesgo creado, la cual fue incluida, en forma expresa, en la Ley de Defensa del Consumidor. El esquema objetivo por el que se decanta la ley, así como la aplicación del criterio de imputación citado, se desprenden de la simple lectura de la norma en cuestión, la cual estipula: el productor, el proveedor y el comerciante deben responder, concurrentemente, e independientemente de la existencia de culpa, si el consumidor resulta perjudicado por razón del bien o el servicio, de informaciones inadecuadas o insuficientes sobre ellos o de su utilización y riesgos. / Sólo se libera quien demuestre que ha sido ajeno al daño. / Los representantes legales de los establecimientos mercantiles o, en su caso, los encargados del negocio son responsables por los actos o los hechos propios o por los de sus dependientes o auxiliares. Los técnicos, los encargados de la elaboración y el control responden solidariamente, cuando así corresponda, por las violaciones a esta Ley en perjuicio del consumidor. (La negrita es suplida). Realizando un análisis detallado de la norma recién trascrita, se desprenden una serie de elementos condicionantes de su aplicación. En primer lugar, y desde el plano de los sujetos, esto es, quien causa el daño y quien lo sufre, la aplicación de este régimen de responsabilidad se encuentra supeditada a que en ellos concurran determinadas calificaciones. Así, en cuanto al primero, se exige que sea un productor, proveedor o comerciante, sean estos personas físicas o jurídicas. Por su parte, en cuanto al segundo, la lesión debe ser irrogada a quien participe de una relación jurídica en donde se ubique como consumidor, en los términos definidos en el cuerpo legal de referencia y desarrollados por esta Sala. Se requiere, entonces, que ambas partes integren una relación de consumo, cuyo objeto sea la potencial adquisición, disfrute o utilización de un bien o servicio por parte del consumidor. El Banco actúa en ejercicio de su capacidad de derecho privado, como una verdadera empresa pública, y en dicha condición, ofrece a sus clientes un servicio, por lo que, al existir una relación de consumo, el caso particular debe ser analizado bajo el ámbito de cobertura del numeral 35 en comentario. Asimismo, del precepto bajo estudio se desprende, en segundo lugar, que el legislador fijó una serie de criterios de atribución con base en los cuales se puede imputar la responsabilidad objetiva que regula este cardinal, dentro de los que se encuentra la ya citada teoría del riesgo. Así, este sirve como factor para endilgarle la responsabilidad a los sujetos a que se hace referencia. En esencia, dicha teoría postula que, quien crea, ejerza o se aprovecha de una actividad lucrativa lícita que presenta elementos potencialmente peligrosos para los demás, debe también soportar sus inconvenientes (ubi emolumentum, ubi onus, el cual puede ser traducido como donde está el emolumento, está la carga). De la anterior afirmación se pueden colegir dos características: por un lado, que el riesgo proviene de una actividad de explotación; y por el otro, al ser realizada por el ser humano, se excluyen los denominados hechos de la naturaleza. Concomitantemente, importa realizar algunas precisiones en cuanto a los riesgos aptos para la generación de la responsabilidad, ya que no todo riesgo implica el surgimiento, en forma automática, de esta. En la actualidad, la vida en sociedad ofrece un sinnúmero de riesgos, de distintos grados y alcances, al punto que se puede afirmar que es imposible encontrar una actividad cotidiana que se encuentre exenta de ellos. En esta línea, la interpretación de las normas no puede partir de una aversión absoluta y total al riesgo, el cual, como se indicó, forma parte integral de la convivencia societaria y de los avances tecnológicos que se integran a esta. Lo anterior lleva a afirmar que, para el surgimiento del deber de reparación, el riesgo asociado con la actividad debe presentar un grado de anormalidad, esto es, que exceda el margen de tolerancia que resulta admisible de acuerdo a las reglas de la experiencia, lo cual debe ser analizado, de manera casuística, por el juez. El segundo punto que requiere algún tipo de comentario es en cuanto al sujeto que deviene obligado en virtud de una actividad considerada como peligrosa. Como ya se indicó, el criterio de imputación es, precisamente, el riesgo creado, lo que hace suponer que la persona a quien se le imputa el daño debe estar en una posición de dominio respecto de aquel, es decir, debe ser quien desarrolla la actividad o asume las posibles consecuencias negativas asociadas, recibiendo un beneficio de ello. Este puede ser directo, el cual se puede identificar, entre otros, con los ingresos o emolumentos obtenidos a título de contraprestación, o bien indirectos, cuando la situación de ventaja se da en forma refleja, que podría ser el caso de mecanismos alternos que tiendan a atraer a los consumidores, y en consecuencia, deriven en un provecho económico para su oferente. Es importante mencionar que en una actividad es dable encontrar distintos grados de riesgo, los cuales deben ser administrados por aquel sujeto que se beneficia de esta, circunstancia que ejerce una influencia directa en el deber probatorio que le compete, ya que resulta relevante para determinar la imputación en el caso concreto. Lo anterior, aunado a la existencia de causales eximentes demuestra que la legislación en comentario no constituye una transferencia patrimonial automática. (véase sentencia no. 300-F-S1-09 de las 11 horas 25 minutos del 26 de marzo de 2009). / IV.- Asimismo, resulta importante referirse a la carga de la prueba en asuntos como el presente. En primer término, se advierte que la parte actora se encuentra en una situación donde le resulta muy difícil o prácticamente imposible comprobar algunos de los hechos o presupuestos esenciales para su pretensión, colocándola ante una posible indefensión. Producto de lo anterior, y según lo ha indicado esta Sala con anterioridad, se redistribuye el deber de demostración entre las partes litigantes, en donde el onus probandi (deber probatorio) le corresponde a quien se encuentre en mejores condiciones para aportar la prueba al proceso (en este sentido, se puede ver la resolución no. 212 de las 8 horas 15 minutos del 25 de marzo de 2008). Empero, de lo anterior no debe extraerse que la víctima se encuentra exenta del deber probatorio, ya que le corresponde acreditar, en los términos dichos, el daño sufrido y el nexo de causalidad. Por su parte, corre por cuenta del accionado probar que es ajeno a la producción del daño, es decir, debe demostrar la concurrencia de alguna de las causas eximentes de responsabilidad, ya sea la culpa de la víctima, el hecho de un tercero o la fuerza mayor. Asimismo, el demandado puede liberarse de la responsabilidad en el tanto logre comprobar que el régimen establecido en el cardinal 35 de la Ley de Defensa del Consumidor no le es aplicable, ya sea porque no concurren en la especie los presupuestos subjetivos para su aplicación (por ejemplo, si las partes no se encontraran en una relación de consumo), o bien, en el caso específico de la teoría del riesgo que contempla dicha norma, que este no se ubica en un grado de anormalidad. A manera de síntesis, se puede observar que se trata de una redistribución del deber probatorio en atención a las circunstancias específicas de cada uno de las partes y su proximidad a las fuentes probatorias, las cuales, en todo caso, serán valoradas conforme a las reglas de la sana crítica, a partir de las cuales, los juzgadores deben recurrir, no sólo a las consecuencias que se derivan en forma directa del acervo probatorio, sino también de indicios y su propia experiencia al momento de valorarlo. Ahora bien, en casos como el presente, se da la particularidad de que, para el demandado, la demostración de las causas eximentes presenta la misma complejidad a la que se enfrentan los actores, ya que allegar al proceso prueba de un eventual supuesto de culpa de la víctima, como lo podría ser el que se haya entregado la clave a un tercero, requeriría verificar, entre otros actos, un comportamiento del ámbito personal del actor, respecto del cual resulta absolutamente ajeno. En este sentido, las consideraciones expuestas resultan, igualmente, aplicables al demandado. Esta necesidad se hace aún más patente, si se considera que el comercio electrónico se caracteriza por el hecho de ser impersonal, ya que las partes no entran en contacto directo al momento de realizar la transacción, sino que lo hacen mediante canales informáticos mediante los cuales se transmiten los datos, lo que facilita que se cometan ilícitos originados en la connivencia o confabulación de los usuarios del sistema financiero. Es por lo anterior, que las probanzas deben ser valoradas considerando el acceso a las fuentes probatorias por las partes, cuyo análisis ha de abarcar, necesariamente, y en aplicación de las reglas de la sana crítica, la existencia de elementos que, eventualmente, contradigan la presunción de buena fe que le asiste a los actores respecto de sus pretensiones, considerando la dificultad, ya comentada, de demostrar ciertos hechos constitutivos de su ruego. Así, un correcto entendimiento de los mecanismos de seguridad que en cada momento implementen los intermediarios financieros resulta clave para apreciar si la parte demandante actúa, o no, con buena fe. Sentencia no. 300 de las 11 horas 25 minutos del 26 de marzo de 2009 (https://nexuspj.poder-judicial.go.cr/document/sen-1-0034-442609). En igual sentido, pueden consultarse, mutatis mutandis, entre muchos otros, los fallos nos. 1335-F-S1-2016 de las 9 horas 55 minutos del 15 de diciembre de 2016 (https://nexuspj.poder-judicial.go.cr/document/sen-1-0004-771199); 2595-F-S1-2020 de las 14 horas 38 minutos del 12 de noviembre de 2020 (https://nexuspj.poder-judicial.go.cr/document/sen-1-0004-1016475); 2251-F-S1-2021 de las 10 horas 37 minutos del 16 de diciembre de 2021 (https://nexuspj.poder-judicial.go.cr/document/sen-1-0004-1068193) y 926-F-S1-2024 de las 14 horas 18 minutos del 10 de julio de 2024 (https://nexuspj.poder-judicial.go.cr/document/sen-1-0004-1240033).

XIII. El Tribunal, a partir del apartado IX y hasta el XIII de la sentencia objetada se refirió a los 10 riesgos o vulnerabilidades anormales que encontró en el servicio electrónico Internet Banking prestado por el BNCR, con los cuales desestimó que fuera ajeno al daño; rechazando, por ende, las eximentes de responsabilidad de culpa de la víctima y hecho de un tercero. Al analizarse el único agravio formulado por quebranto de normas adjetivas, apartados del VI al IX de esta resolución, se expuso y analizó el primer riesgo o vulnerabilidad, referido a la identificación de las personas frente al uso de los servicios de la banca electrónica. De seguido, para tener una cabal comprensión de lo que se dirá, resulta necesario exponer los restantes nueve riesgos o vulnerabilidades encontrados por las personas Juzgadoras. Se hace la aclaración que, para una mejor sistematización, los diferentes riesgos se identifican con títulos y sub títulos. Algunos títulos son creación del Tribunal; otros, de esta Cámara, los sub títulos son de esta Sala. En el apartado X del fallo objeto, el Tribunal aludió al riesgo que denominó mecanismo de autenticación asignado por el BNCR a la aquí actora para el uso de la banca electrónica. (Lo resaltado es del original), el cual alude al uso del token y se subdivide en dos vulnerabilidades: A) sustitución del token físico (hardware token) por uno digital (software token). [&] de las probanzas allegadas a los autos es posible afirmar que, para la fecha en que se efectuaron las transacciones ella contaba con Teclado Virtual y OTP de Token (hecho probado 11). No obstante, debemos aclarar que tanto la teoría del caso planteada por ambas partes, como el informe DS-632-2021 citado y el peritaje realizado por H.F.án B.F., hacen referencia únicamente al Token como mecanismo de autenticación con el cual se efectuaron los movimientos y transacciones en las cuentas de la aquí actora. [&] En palabras simples, el perito explicó al Tribunal que, en los sistemas bancarios, los Token funcionan como un parámetro adicional de seguridad. [&] en el caso que nos ocupa, podemos inferir de las probanzas documentales admitidas (en este caso, el informe DS-632-2021), la testimonial evacuada (las declaraciones de doña K. y su esposo) y la pericial, que el Token de la aquí actora era físico (llavero), siendo este aparato el que tiene toda esa secuencia numérica a la que nos referimos. [&] el primer movimiento que se desprende del informe DS-632-2021 citado, es que el 11 de febrero del 2021, se ingresa con identidad virtual de la actora y se realiza una solicitud de cambio de Token de físico a digital. [&] en criterio del Tribunal, aquí se presenta un primer riesgo [&] cuando el representante del banco demandado preguntó a la funcionaria B.V. si "(...) ¿es posible realizar el cambio de Token vía remota? (...)", ella contestó "(...) No, no porque en el Token se tienen que firmar documentos (...)". Agregó, incluso, que en su puesto eso no se hacía, por lo que doña K. debía presentarse a una oficina o sucursal física a realizar el cambio y ella la pasaría a una plataforma preferente para que la atendieran. Si conforme a la declaración de la funcionaria G.B.V. el cambio de Token físico a digital no podía realizarse en línea porque no formaba parte de los servicios telemáticos; no entiende el Tribunal cómo, conforme al informe DS-621-2021 [sic] indicado, ese cambio sí pudo efectuarse desde la banca electrónica, en la medida que se acreditó que por ese medio virtual se deshabilitó el Token físico de doña K. y se habilitó software Token (hecho probado 13). [&] existe una abierta contradicción entre dos de las pruebas ofrecidas por el mismo ente bancario, esto es, lo que indica el informe señalado y la declaración de la ejecutiva bancaria asignada, en su momento, a la aquí actora. [&] acudiendo a las reglas de la experiencia común, el Tribunal se inclina por dar credibilidad al testimonio de la funcionaria B.V., porque ella fue clara y se mostró segura al contestar la pregunta realizada por el representante del ente demandado y porque, estimamos, la opción de cambiar la modalidad de Token de físico a digital es relativamente reciente, ya que antes era indispensable acudir a la sucursal con el teléfono (porque no necesariamente todos aceptan la aplicación en el cual se iba a instalar la aplicación respectiva). [&] Atendiendo al perfil cliente de la accionante y considerando que contaba con ejecutiva de cuenta preferencial asignada, las medidas de seguridad del banco no permitieron filtrar una solicitud ilegítima de cambio de modalidad de Token, de físico a digital, sin la verificación o cotejo de que esa petición en línea hubiese sido gestionada por la titular de las cuentas. Y es que, a partir de este cambio que propician [sic] diferentes movimientos (cambio en el límite pecuniario de transacciones diarias e inclusión de cuentas favoritas), que concluyen con las transacciones realizadas el 11 de febrero del 2021, mediante la cual se sustrajeron fondos de las cuentas de la aquí actora, en su perjuicio y sin su autorización. En consecuencia, de la valoración del testimonio de G.B.V. a la luz de las reglas de experiencia común, se da un primer riesgo o vulnerabilidad en el sistema, que resulta, nuevamente, atribuible en forma exclusiva al BNCR, a saber, la permisibilidad de cambio de Token de físico a digital, sin que doña K. hubiera asistido físicamente al banco, lo haya gestionado directamente en una sucursal o hubiese firmado digitalmente una solicitud en ese sentido. B) solo se utilizó una vez el token físico. En otro orden de ideas, cuando el Tribunal preguntó a doña K. lo que ella había hecho en la banca electrónica, fue enfática al afirmar que solo llenó su nombre e identificación y usó el Token solo una vez, con un solo OTP. Su declaración resulta creíble al Tribunal porque, a pesar del tiempo transcurrido, resulta consistente y coincidente con lo que manifestó desde el 12 de febrero del 2021, por ejemplo, en la denuncia y en esta demanda. Si eso es así, se presenta una segunda vulnerabilidad del sistema porque, según lo explicamos el uso del Token solo permitiría ingresar al sistema, no hacer los movimientos y transacciones ya señaladas; porque, en principio, tal y como indicó el perito en su declaración, cada una de ellas debería haber sido validada por un OTP distinto, que va a asignar el Token y que tiene una secuencia numérica específica asociada a ese dispositivo. Pero lo cierto del caso es que aquí, con un solo OTP (el que digitó doña K.) se realizaron varios movimientos (como incluir cuentas favoritas y cambiar el límite diario) y se hicieron varias transacciones en la cuenta corriente en colones y en la de ahorro en dólares), todo en pocas horas. El Tribunal no podría asumir que los OTP para las nuevas transacciones, vinculación de cuentas y transferencias entre cuentas de otros bancos, se hicieron no con el Token anterior desahibilitado [sic], sino con el nuevo que habilitaron a partir de la ingeniería social o el pishing por dos razones. La primera de ellas es que se estaría especulando, porque el informe DS-621-2021 [sic] citado no relata esa teoría, ni evidencia que haya habido un cambio en el correo electrónico o teléfono designado por doña K. para el envío de este tipo de mensajes; aspecto que, en todo caso, tampoco probó el banco (hechos no probados 7 y 8). Segundo, porque como el BNCR desistió de la declaración del funcionario experto en seguridad bancaria, no existe ningún otro elemento demostrativo técnico o científico que permita concluir que existieron OTPs para habilitar todos los movimientos y transacciones efectuadas ese 11 de febrero del 2021, ni a cuál medio telefónico o de correo electrónico fueron remitidos éstos.

XIV. En dicho Considerando X, también identificaron otro riesgo, el cual identificaron como: vulnerabilidades del sistema relacionadas con los movimientos o transacciones realizadas. El cual, se subdivide en cuatro vulnerabilidades: A) cambio del límite pecuniario de transacciones diarias con un solo token. [&] conforme al peritaje y declaración del experto Barrantes Fallas, para el cambio del límite pecuniario de transacciones diarias se requería el uso de un OTP y aquí se ha tenido por demostrado que el 11 de febrero del 2021, la accionante M.S. no utilizó más el Token para nuevos códigos (hecho probado 12). A pesar de lo anterior, el informe DS-632-2021 confirma que ese cambio se efectuó y que el nuevo límite se fijó en siete millones quinientos mil colones (hecho probado 13). B) El límite no surtió efecto. Pero aún más grave, lo cierto del caso es que las transacciones efectuadas el 11 de febrero del 2021 superan y excedieron ese nuevo límite, pues, ese mismo día y en pocas horas, se hicieron transacciones en la cuenta corriente en colones No. 100-01-000-138555-8 y la cuenta de ahorros en dólares No. 200-02-036-542137-0, por conceptos de pago de servicios, transferencias en línea y retiro electrónicos, que ascienden a la suma de cuarenta y cuatro mil setecientos un dólar con noventa y ocho centavos y dieciocho millones novecientos dos mil cuatrocientos colones exactos (hecho probado 15) y el sistema lo permitió. Es decir, sin que doña K. lo hubiera gestionado directamente, subieron el límite diario a siete millones y medio de colones, pero terminan sustrayéndole una suma mayor. Y para el Tribunal no resulta justificable establecer ese límite diario aplica [sic] solo en relación con algunas transacciones porque se trata de una decisión que sería contraria a la misma funcionabilidad y finalidad de ese límite como medida de seguridad. [&] ante una pregunta del representante de la parte actora, el perito B.F. señaló, en lo medular, que ese límite era importante para evitar los excesos o que el usuario se excediera en el monto de transacciones diarias. [&] si fue el BNCR quien dispuso que sus sistemas le dieran a ese límite una finalidad distinta (en la medida que solo se veía afectado por algunas transacciones y no todas), es esa entidad quien debe asumir los riesgos que esa decisión genere; como lo fue en este caso, el exceso de transacciones por encima del límite fijado, en las cuentas de doña K.. C) apertura, registro o vinculación de cuentas favoritas. Tiempo de activación. [&] en relación con la apertura, registro o vinculación de cuentas favoritas, también se encuentran irregularidades del sistema, que resultan imputables exclusivamente al BNCR. [&] Consta en el peritaje la respuesta que brindó el BNCR a algunas consultas planteadas por el experto. Respecto a la inclusión de cuentas favoritas, se indicó que "(...) Es requisito indispensable que cada cuenta favorita sea incluida mediante dos mecanismos que utilizan estos factores. " Con solo ingresar con la firma digital (es el nivel de seguridad por excelencia) y la cuenta se incluye directamente. " Con cuatro factores de autenticación (Token para ingresar, Token para ingresar a la transacción de inclusión de cuentas, Código de verificación. En este caso, la cuenta tiene un tiempo de activación de 4 horas posteriores a la inclusión y requiere que el cliente ingrese en ese lapso a aprobar esa afiliación para que quede en firme. (...)" (imágenes 253 a 268 del expediente judicial digital escaneado en un único archivo PDF). Sin embargo, las cuentas favoritas agregadas en las cuentas de doña K. quedaron activas en un lapso inferior a las cuatro horas que se indican, ya que se activaron entre las 13:38 y 14:04 horas del 11 de febrero del 2021 y las transferencias a esas nuevas cuentas incluidas se efectuaron entre la 1:45 pm y las 3:01 pm de ese mismo día (hecho probado 14 en relación con las imágenes 68 a 72 del expediente judicial digital escaneado en un único archivo PDF). D) seguridad para efectuar transferencias SINPE. [&] se aprecia otra vulnerabilidad del sistema en relación con el mecanismo de seguridad para efectuar transferencias SINPE por medio de la plataforma electrónica. Lo anterior porque, cuando el perito consultó al BNCR "(...) Explicar si, desde la plataforma de Internet Banking del BNCR, ¿es posible que se realicen transferencias bancarias por medio de la plataforma SINPE sin la utilización de un token de seguridad desde las cuentas de un cliente del BNCR hacia cuentas bancarias de terceros? Debe aportar una explicación clara, detallada y apoyar los argumentos aclaratorios mediante imágenes y diagramas de procesos. (...)"; M.A.H., funcionario de Soporte Operativo de Canales Digitales de la Dirección de Soporte al Negocio - SGO, contestó: "(...) No es posible realizar transferencias por Internet Banking del BNCR sin la utilización de un token de seguridad. (...)". Sin embargo, luego de que el perito efectúa su labor concluye "(...) que sí es posible que se realicen transferencias bancarias por medio de la plataforma SINPE sin la utilización de un token de seguridad o dispositivo generador de OTP (One-time password Contraseña de una sola vez), más sin embargo, la cuenta destino en donde se depositarán los fondos a transferir mediante SINPE debe ser previamente registrada, para lo que se requiere el uso del dispositivo generador de OTP dentro del proceso de registro. Una vez completado el registro de la cuenta destino, el usuario puede realizar las transferencias SINPE hacia esas cuentas. (...)". (imágenes 253 a 268 del expediente judicial digital escaneado en un único archivo PDF).

XV. En el apartado XI, el Tribunal advirtió otro riesgo: el sistema no generó alertas por los movimientos efectuados. [&] el 11 de febrero del 2021 se efectuaron movimientos (cambio de Token, variación de límite pecuniario diario e inclusión de cuentas favoritas) y transacciones por sumas importantes en las cuentas corriente y de ahorro de doña K., en un corto lapso; las cuales se salían del comportamiento financiero habitual de doña K. que aquí se ha tenido por acreditado (hecho probado 4). Sin embargo, no existe ninguna prueba de que el BNCR hubiera emitido alertas tempranas, que informaran a doña K. de ellas o requirieran su confirmación (hechos no probados 7 y 8). Lo anterior, a pesar de que, conforme a la prueba documental aportada por el BNCR y a las respuestas brindadas en el mismo peritaje, debían efectuarse. Se extraña en autos, por ejemplo, elementos que evidencien que el BNCR avisó a doña K., por mensaje SMS o correo electrónico acerca de los movimientos o transferencias que se estaban efectuando o fueron efectuadas en sus cuentas. Tomando en cuenta que el cambio de Token físico a digital y nuevo límite para transacciones diarias se efectuaron a la 1:19 pm aproximadamente y la última transacción en las cuentas se efectuó a las 4:30 pm (hechos probados 10, 13, 14 y 15 en relación con las imágenes 68 a 82 del expediente judicial digital escaneado en un único archivo PDF), es viable concluir que si esas alertas tempranas se hubieran enviado a doña K., ella no habría confirmado esas transacciones y hubiese sido posible, bloquear, impedir o denegar la realización de todas o alguna de ellas. En criterio del Tribunal, la perfilación de los clientes bancarios y la emisión de este tipo de alertas tempranas cuando las transacciones se salen de su perfil, constituyen factores relevantes dentro del manejo de los riesgos bancarios. [&] se ha tenido por demostrado que el BNCR ya había perfilado a doña K. como una cliente preferente e incluso le asignó una ejecutiva bancaria (hechos probados 6, 7 y 8 y la declaración de G.B.V.. Esto implica, en nuestro criterio, que el BNCR y su sistema conocían que ella y su esposo eran personas adultas mayores y que ella era, además, jubilada; sin que se haya demostrado que fuera una consumidora financiera cualificada (hecho no probado 15). [&] aunado al tipo de transacciones que efectuaba en línea, permiten concluir que el perfil de su comportamiento financiero era conservador; porque utilizaba el sistema para transacciones de bajo monto, relacionados en general con ayudas a los hijos, así como el pago de los servicios públicos y el de contado de la tarjeta de crédito, cuando la utilizaba en viajes (hecho probado 4 y declaración de doña K.. Por su perfil de riesgo y partiendo que tenía asignada una ejecutiva de cuenta que debía conocerlo, estimamos que el BNCR estaba en la obligación de contar con medidas de alerta temprana y medidas preventivas de seguridad que fueran acordes a su perfil. Si las hubiera tenido, el sistema hubiera podido detectar, el 11 de febrero del 2021, un comportamiento financiero transaccional en línea muy diferente al que normalmente caracterizaba a doña K., tanto por el tipo de movimientos y transacciones efectuadas, como por el monto de éstas. Y por razones de seguridad, estaba en la obligación, entonces, de emitir las alertas necesarias por mensaje SMS o correo electrónico advirtiendo de estos o, incluso, detenerlas hasta que no obtuviera su confirmación. Pero nada de eso sucedió en la especie, pues no se demostró que esas alertas hayan sido emitidas (hechos no probados 7 y 8). Se trataba de una carga procesal que incumbía al BNCR y al haberla desatendido deberá asumir las consecuencias negativas que correspondan.

XVI. En el Considerando XII, se indicó otra vulnerabilidad: la acreditación de personas ejecutivas del BNCR. Lo expuesto le permitió al Tribunal evidenciar un nuevo riesgo atribuible exclusivamente al BNCR, en este caso, en relación con los procedimientos para acreditar ante los clientes los ejecutivos bancarios autorizados para atenderlos, en el caso de que los hubiera; como efectivamente se presentó en este proceso.

XVII. En el apartado XIII, se indicó el último riesgo, relacionado con el derecho a la información que el Banco debió brindarle a la consumidora. Tampoco se acreditó que, a la fecha en que se ingresó con los datos de la accionante al sistema de identidad virtual de Internet Banking, el BNCR hubiera advertido personal o directamente a la actora sobre los riesgos del fraude electrónico y las precauciones que debía adoptar para poder acceder al canal transaccional del banco (hecho no probado 2).

XVIII. Por otra parte, como se indicó, con base en esos riesgos, el Tribunal descartó las eximentes de responsabilidad invocadas por al apoderado del BNCR de culpa de la víctima y hecho de un tercero. Respecto a la primera, en el Considerando XII de la sentencia objetada, el Tribunal brindó dos razones: A) informalidad en la designación de las personas ejecutivas. [&] el análisis de las diversas pruebas que constan en autos, no permiten [sic] concluir sobre conductas imprudentes o negligentes de la actora que permitan suponer que puso en conocimiento de terceras personas, información relevante para el acceso a sus cuentas y las sustracciones no autorizadas. Un aspecto inicial que, a nuestro criterio, descarta por completo cualquier negligencia de la accionante, es la informalidad del mecanismo o práctica comercial utilizada por el BNCR para comunicar a sus clientes los ejecutivos bancarios asignados para atenderlos. En el caso doña K., la asignación de la ejecutiva de cuenta G.B.V.. No se demostró en este proceso que esa entidad bancaria se hubiera comunicado por escrito o por correo electrónico la accionante y le hubiera informado, formalmente, que doña G. sería su ejecutiva bancaria personal y la única con la que podía comunicarse (hecho no probado 1). Más bien, doña K. fue enfática en afirmar que nunca recibió nada por escrito en ese sentido; dicho que fue confirmado por su esposo, ya que don M. declaró que nadie confirmó por medio de carta, que G. fuera la única autorizada para atender a doña K.. Lo que sí se acreditó es que fue la misma G. quien contactó por teléfono a doña K. y le informó que era la ejecutiva designada para atenderla (hecho probado 7). Y si se observa con cuidado, ese mismo modus operandi o práctica fue la que utilizó la persona que la engañó, pues la llamó telefónicamente, se identificó como el licenciado J.B.údez y se acreditó, el 11 de febrero del 2021, como el nuevo ejecutivo bancario que el banco le había asignado y le brindó su ayuda para el cambio del Token (relación de los hechos probados 7 y 11). Por ello, al Tribunal le resultó creíble la manifestación de doña K. de que no le pareció extraña la llamada; porque, reiteró, de esa misma forma se había presentado G.B.V.. Diferente hubiera sido si existiese alguna comunicación formal, escrita, por parte de alguna autoridad del ente accionado, en la que le comunicara a la actora que la funcionaria G.B.V. era la única ejecutiva bancaria asignada para atenderla; lo que, insistimos, no se demostró. Y, B) la actora no compartió información personal de sus cuentas. Solo digitó un token. [&] tampoco se acreditó que la accionante haya compartido información personal de sus cuentas (hecho no probado 5). A lo sumo, indicó al Tribunal que llenó el formulario con su nombre e identificación y dio un único OTP. Más bien, el análisis de los elementos de convicción de manera armónica y a la luz de la sana crítica racional, permite concluir que existieron vulnerabilidades del sistema del BNCR que pusieron en riesgo las cuentas de la aquí actora y propiciaron los movimientos y transferencias efectuadas el 11 de febrero del 2021 sin su autorización, según se explicó en los Considerandos precedentes. Así, no puede desprenderse la concurrencia de culpa de la víctima.

XIX. Respecto al hecho de un tercero, en dicho apartado XII, expuso cuatro razones para su no configuración. A) denuncia penal. V.ón del sistema del BNCR. También se alega que fue un tercero quien realizó el fraude bancario y para lo cual existe una denuncia penal. Pero, en nuestro criterio, es irrelevante que existan terceros identificados que, se presume, están relacionados en la sustracción de los fondos de la aquí actora. La responsabilidad que aquí se exige al BNCR es patrimonial, al amparo del artículo 35 de la Ley de la LPCDEC, lo que es diverso de la eventual responsabilidad penal de los terceros. Al margen de que se hayan identificado y contactado a los destinatarios de las transacciones en cuestión, lo cierto del caso es que, en lo medular, la materialización de los riesgos antes citados y las contradicciones incurridas en la información que ha sido aportada a este Tribunal en las probanzas que han sido valoradas (por ejemplo, la superación de los límites de transferencia fijados, la posibilidad de realizar transferencias sin token, entre otros), no permiten a la Cámara tener por acreditada la no vulneración de los sistemas del Banco, al menos en los términos asegurados por la entidad bancaria. B) Siempre participan terceros. En este tipo de conflictos por tesis de principio, siempre existirá la participación de un tercero ajeno a la relación comercial del ente bancario y el cliente. No obstante, ese solo elemento no elimina la responsabilidad del agente económico, quien acorde al sistema objetivizado [sic] que sostiene la Ley No. 7422, solo se descarga ante la ajenidad del daño. C) Carga prueba sobre la vulnerabilidad. No podría sostenerse que la carga de la prueba respecto de la vulnerabilidad de esos mecanismos o sistema de seguridad informática recae sobre la actora, pues en sentido contrario, es la carga probatoria la que debe estar dirigida a la demostración de la existencia de una o varias circunstancias que impidan el surgimiento de la tantas veces mencionada responsabilidad civil, la cual por ministerio de ley pesa sobre esa institución bancaria. Así las cosas, para el Tribunal sería impensable pretender desplazar esa carga de la prueba, a fin de que sea el usuario de los servicios bancarios ofrecidos por el BNCR quien deba conocer en detalle todos los sistemas de seguridad de ese banco, y a partir de ahí demostrar, además, la existencia de alguna fisura. [&] Cabe destacar, es el demandado quien, en una decisión empresarial propia, diseñó y condicionó el acceso a los sistemas utilizados en el marco de la herramienta denominada Internet Banking, razón por la cual, cuenta con la posibilidad de establecer cuantos sistemas de seguridad estime oportunos, a fin de garantizar que las transacciones sean hechas por su cliente, y no solo por alguien que tenga a su disposición datos sensibles de ese usuario. D) alegatos durante las conclusiones. El que sea a través de delincuentes, no conlleva la ajenidad del daño. Durante sus conclusiones, el representante del ente accionado expuso dos argumentos relacionados con el eximente de hecho de un tercero, que el Tribunal estima necesario abordar. Primero, manifestó que la teoría del riesgo creado ya fue superada por la Sala Primera; y que ahora más bien resulta aplicable la teoría de la causalidad adecuada. Esta manifestación obliga a aclarar que la teoría del riesgo alude a un criterio de imputación de la responsabilidad objetiva, expresamente reconocido por el artículo 35 de la LPCDEC; por lo que no se trata de un aspecto superado, ni podría este Tribunal dejar de aplicarlo, mientras exista una norma legal que así lo reconozca. Aunado a lo anterior, y como se explicó en el Considerando VII, la teoría de la causalidad adecuada refiere a un aspecto distinto, relacionado con el nexo causal que debe de existir, en este caso, entre las actuaciones u omisiones del BNCR y el daño patrimonial que la demandante dice haber sufrido. Se trata de dos elementos diferentes (criterio de imputación - nexo de causalidad) que deben concurrir y ser analizados en reclamos de responsabilidad como el que aquí se plantea. En segundo lugar y siendo que se alude a la posición de la Sala Primera en esta materia, debemos señalar que, efectivamente, en la sentencia No. 225-F-S1-2023 dictada a las 10 horas 30 minutos del 16 de febrero del 2023, se resolvió un proceso en el cual se reclamaban daños y perjuicios al BNCR, a partir de un fraude electrónico por ingeniería social y la Sala Primera indicó, en lo medular [&] En aplicación al principio de independencia judicial, conforme al cual este Tribunal solo está sometido a la Constitución Política y a la Ley, debemos indicar que si bien se respeta la posición adoptada por la Sala Primera, no se comparte por las siguientes razones. Como aspecto general, debemos indicar que no se comparte que exista ajenidad para efectos del artículo 35 de la LPCDEC, por el hecho delictivo de un tercero. Lo anterior, porque una postura como esa equivaldría a desconocer la teoría de la causalidad adecuada y la causa evitable; así como el régimen de responsabilidad objetiva que esa norma legal establece y a la que ese Tribunal se encuentra vinculado. Resulta innegable que el uso de plataformas digitales y una identidad virtual, más allá de la física y legal, genera una serie de ventajas en términos de prestación del servicio, competitividad y lucro; lo que a su vez, conlleva riesgos que deben ser asumidos por el agente comerciante o proveedor del servicio, en este caso, el ente bancario. Por ende, éste debe necesariamente emprender acciones de verificación, control, mantenimiento continuo de los estándares de seguridad mínimos que garanticen la identidad de quien realiza transacciones bancarias (sea físicamente o en línea) y la autenticidad e integridad de éstas; así como que permitan vincular jurídicamente al cliente con la transacción realizada. Pretender la aplicación que propone el representante del BNCR respecto de lo resuelto por la Sala Primera, llevaría a que ningún caso de spyware, phishing o sustracción electrónica de fondos fuera responsabilidad de los bancos, ni objeto de indemnización, porque en todos ellos, la acción ilícita es realizada por un tercero. Reiteramos que el parámetro de imputación establecido en el artículo 35 ibídem (teoría del riesgo) le exige al banco tomar las medidas de previsión para evitar el daño: si ofrece y brinda servicios financieros a partir de identidades digitales o virtuales pactadas (que no se corresponden con las físicas y legales) y sobre plataformas informáticas (que constituyen ambientes inseguros), tiene que garantizar la invulnerabilidad del sistema y la insustituibilidad de las personas, en el sentido que pueda verificar la integridad de las transacciones, la identificación en forma unívoca del autor y vincularlo jurídicamente con las primeras. Y en el caso concreto, por las razones expuestas en los Considerandos VII al XI, estimamos que el BNCR no lo garantizó. Por otra parte, estimamos importante señalar que la sentencia de la Sala Primera alude a un elemento diferenciador, en este caso, que el banco, en su condición de comerciante y proveedor del servicio, haya o no propiciado la situación; de modo que, si no lo hace y más la acción proviene de un tercero, no le resulta imputable el daño. A contrario sensu, si la propició y con ello se generan daños, debe responder patrimonialmente en los términos que dispone el numeral 35 ya señalado. Y el caso concreto, por las razones, riesgos y vulnerabilidades del sistema expuestas en los Considerandos VII a XI, estimamos que el BNCR sí propició la situación. Por ello, para el Tribunal no resulta atendible la defensa simplista del BNCR de invocar el precedente ya indicado, obviando que sí se acreditó el parámetro de imputación exigido por el artículo 35 ibídem, en la medida que existieron riesgos y vulnerabilidades en sus sistemas, propiciados por ese ente y que la causa del daño que reclama la actora, al margen del suministro de datos (lo cual, en todo caso no se acreditó), fue la falta de eficiencia de los controles de seguridad en la identificación virtual pactada con los clientes para el acceso a la banca electrónica, para el registro de un nuevo Token y el suministro de OTP en nuevas transacciones y la omisión de alertas tempranas o comunicaciones oportunas a la accionante respecto de las transacciones que se efectuaron. De esta forma, no se acreditó la ajenidad del daño y más bien, se demostró que la causa adecuada y eficiente del daño patrimonial reclamado fue falta de funcionabilidad de los sistemas de seguridad y alarmas de ese ente bancario, en los términos ya explicados. [&] los riesgos generados en la custodia de los dineros que le fueron depositados al BNCR por la actora -en el marco de la relación de consumo que les compete-, le resultan atribuibles exclusivamente al Banco, pues es este el que genera la plataforma digital de sus servicios y a la vez restringe al consumidor a una forma particular de identificación, facilitándole los medios de interacción (Token, teléfono) y gestionando su información (perfil financiero y asistencia a través de ejecutiva), sumado a que, por la pandemia, el internet banking se transformó en el único medio de acceder a los servicios ofrecidos por la entidad demandada. Por tanto, es la entidad bancaria quien tiene bajo su poder la actividad peligrosa a partir de la cual genera un lucro y como se trata de una responsabilidad objetiva, es indistinto si hubo o no un comportamiento negligente o si resultaba previsible las consecuencias dañosas. Insistimos en que la ajenidad del daño debe ser valorada a la luz del caso concreto. En un negocio bancario, los clientes realizan depósitos bajo exclusiva responsabilidad del Banco, y es esa entidad quien debe disponer de los mecanismos de seguridad para evitar que sean sustraídos ilegítimamente, o bien, para compensar a los clientes en tales casos. Por tal motivo, el que una organización criminal, fuera por actos violentos en una sucursal física o de ingeniería social en una plataforma digital, logre la sustracción de dinero custodiado por un Banco, no puede constituir una causa de ajenidad que excluya la responsabilidad de la entidad bancaria hacia sus clientes, pues, ellos no tienen en su poder la operación de la actividad bancaria y, por lo tanto, tampoco sus riesgos. A la luz del análisis efectuado de los riesgos incurridos por el Banco en la gestión de las cuentas de doña K., sea bajo una tesis de causalidad adecuada o de riesgo creado, lo cierto es que el Banco fue quien propició las vulnerabilidades que fueron aprovechadas por los delincuentes para sustraer el dinero y, por ende, quien tiene la obligación de responder, en los términos dispuestos por el artículo 35 de la LPCDEC.

XX. En torno al reparo en estudio, precisa indicar. PRIMERO. El impugnante alegó la indebida valoración tanto de la experticia como del informe no. DS-632-2021 del BNCR. Señaló la existencia de las eximentes de responsabilidad de culpa de la víctima y hecho de un tercero. Cuestionó que el Tribunal estimara que los sistemas de seguridad del Banco fallaron, debido a que la sustracción ilícita de los fondos de la actora se realizó con un único OTP. Empero, indicó, con dichas probanzas se determinan los mecanismos de seguridad, tanto para ingresar al sistema de Internet Banking como para realizar las transacciones. Añadió, con esos medios de convicción se acredita que, a partir del suministro de la clave y el OTP, los delincuentes ingresaron al sistema y cambiaron el hardware token por el software token, y utilizaron los OTP´s y códigos de seguridad. SEGUNDO. El casacionista solo aludió a esos dos riesgos o vulnerabilidades expuestos el Tribunal, sin cuestionar o aludir a las razones brindadas para tenerlos como tales, según lo indicado en el apartado XIII de esta resolución. Efectuó una argumentación divorciada por completo de la sentencia cuestionada; lo cual conlleva a una falta de fundamentación del reparo, según se indicó en el Considerando IV de esta resolución. TERCERO. No explicó, con el rigor debido, cómo con la probanza que señaló -la cual fue analizada por las personas juzgadoras- se desacreditan esos riesgos. Hizo una escueta alusión a esos medios de convicción; mas no indicó, se insiste, de manera clara y precisa, por qué fueron indebidamente apreciados por el órgano judicial. CUARTO. Según se expuso en el Considerando XVIII, las personas juzgadoras brindaron dos razones para descartar la eximente de responsabilidad de culpa de la víctima y, conforme se reseñó en el apartado XIX, cuatro para la de hecho de un tercero. No obstante, el recurrente ni siquiera las mencionó. Es decir, no impugnó lo señalado por el órgano judicial a fin de descartar dichas eximentes de responsabilidad. Simplemente, se insiste, las enunció sin mayor comentario. QUINTO. El Tribunal, además de las dos vulnerabilidades o riesgos al sistema indicados por el recurrente, según se ha expuesto, determinó ocho más. Empero, el objetante no los cuestionó; lo cual hace que lo argumentado resulte fútil a efecto de variar lo resuelto. SEXTO. En los dos últimos párrafos del reparo (páginas 13 y 14) afirmó el impugnante: De haber considerado dichas pruebas de forma correcta el Tribunal hubiere logrado acreditar que los sistemas del banco en ningún momento resultaron vulnerados, o bien resultan deficientes, todo lo contrario los sistemas permitieron que se realizara el ingreso a las cuentas de la demandante solo una vez que se proveyó al sistema con la información de ingreso y las credenciales requeridas para autenticarse frente al sistema. / Una vez acreditado lo anterior, en los términos del artículo 704 del Código Civil (transgredido por falta de aplicación) en lo relativo a la causalidad adecuada, la única derivación posible es que el daño se produjo por la actuación negligente de la cliente al entregar su información confidencial lo que excluye a su vez la responsabilidad objetiva directa del banco por aplicación de los ordinales 190 y 35 precitados (hecho de un tercero y culpa de la víctima). Como ya se anotó, distinto a lo argüido por el objetante, las personas juzgadoras señalaron 10 riesgos o vulnerabilidades que, en su criterio, padeció el sistema de seguridad, lo cual propició que los delincuentes pudieran ingresar y sustraer el dinero de las cuestas de ahorro y corriente de la actora. Sin embargo, se insiste una vez más, el casacionista, en el agravio en estudio, solo aludió a dos, pero sin cuestionar los fundamentos que brindaron los juzgadores para tenerlas como tales. Por otro lado, el Tribunal fue enfático, cuando analizó la improcedencia de la eximente de responsabilidad de culpa de la víctima -Considerando XVIII-, en descartar la negligencia de la accionante. Empero, el recurrente no cuestionó ese fundamento. Tampoco se refirió a lo expuesto en torno a la causalidad adecuada, cuando el Tribunal desechó la eximente de responsabilidad de hecho de un tercero; tal y como se anotó en el apartado XIX de esta resolución. Las razones expuestas imponen el rechazo de plano del agravio en estudio.

XXI. En el segundo motivo de disconformidad por esta razón casacional, tercero acorde al orden del recurso, página 12, anunció el recurrente formularlo por la Indebida aplicación del Régimen de Responsabilidad de la Administración (Banco Comercial de Estado). Invocó transgredidos los preceptos 190 de la Ley General de la Administración Pública (LGAP) y 35 de la Ley de Defensa del Consumidor; los cuales reprodujo. Ambas disposiciones, dijo, son contestes en cuanto a que el régimen de responsabilidad objetiva de la Administración -caso concreto de un banco comercial del Estado- no opera de forma automática con la simple acreditación de un daño; sino que la Administración comerciante puede liberar su responsabilidad si logra acreditar su ajenidad en relación con ese daño, demostrando que su causa eficiente y directa no se produjo a partir de una acción u omisión de su parte. Ajenidad que ocurre, indicó, cuando se logra comprobar que la causa directa y eficiente del daño es por culpa de la víctima. En esta lite, expuso, el quebranto de dichas normas se produjo, pues, a pesar de que el Tribunal tuvo por demostrado que la demandante facilitó todos los mecanismos de seguridad a los delincuentes para que ingresaran a sus cuentas y cometieran los hechos ilícitos, rechazó la eximente de responsabilidad de culpa de la víctima (dispuesta por el legislador en las normas indicadas), argumentando aspectos que no fueron objeto de debate, colocando a su representado en estado de indefensión. Se tuvo por acreditado que la fuga de información sensible no se produjo a partir de la vulneración de los delincuentes a los sistemas informáticos del Banco; sino, por el contrario, por la negligencia de la demandante en cuanto a la custodia de su información sensible. Realizando la supresión hipotética de ese hecho probado, anotó, el hecho ilícito no se hubiera consumado, configurándose, por ende, la culpa de la víctima como eximente de responsabilidad en favor del Banco. Los sistemas de seguridad de su representado, alegó, nunca fueron vulnerados. El hecho ilícito jamás se hubiera materializado si la clienta hubiera cumplido con la sencilla obligación de no suministrar sus claves de acceso a terceros. Este hecho, y no otro, es la causa directa y eficiente de la sustracción de los dineros por los delincuentes. Por ende, concluyó, el Banco resulta absolutamente ajeno a dicho daño.

XXII. Por las siguientes razones el reparo no es de recibo. PRIMERO. En el párrafo primero de la página 13 del libelo señaló el casacionista: En el caso concreto, el quebranto de dichas normas se produce en el tanto a pesar de que el Tribunal Contencioso, tiene por demostrado que la demandante facilitó todos los mecanismos de seguridad a los delincuentes para que estos ingresaran a sus cuentas y cometieran los hechos ilícitos anteriormente expuestos, rechaza la culpa de la victima (eximente de responsabilidad dispuesta por el legislador en las normas precitadas) argumentando precisamente, aspectos que no fueron objeto de debate (el presente agravio esta concatenado con el agravio anterior) y que coloca al banco en estado de indefensión. Como se indicó en el apartado IV de esta resolución, la técnica de la casación, acorde al precepto 139 inciso 3) del CPCA, impone que los agravios se expresen de manera clara y precisa. De ahí que no procede la remisión a lo expuesto en otro motivo de disconformidad, como lo hizo el recurrente. Por otro lado, el objetante afirmó que el Tribunal rechazó la eximente de responsabilidad de culpa de la víctima argumentando aspectos que no fueron objeto de debate. Empero, no explicó o aclaró cuáles son esos aspectos. Esto hace que lo alegado resulte informal. Por el contrario, según lo referido en el apartado XVIII de esta resolución, las dos razones que brindó aluden a aspectos propuestos y debatidos en este proceso. En otro orden de ideas, según se indicó en el apartado I de esta resolución, las personas juzgadoras, en el hecho probado antecedido con el no. 11 acreditaron: El 11 de febrero del 2021, aproximadamente a la una de la tarde, la demandante M.S. recibió una llamada telefónica de una persona que se identificó como una funcionaria del BNCR, quien le indicó que tenía que acudir al banco a cambiar su Token, pero la comunicación no fue muy buena. Minutos después de esa primera llamada, recibió otra de una persona que se identificó como el Licenciado J.B.údez, quien le indicó que era el nuevo ejecutivo que le había asignado el BNCR. Le indicó que para la sustitución del Token tenía que ir al Banco. La aquí accionante le manifestó que tanto ella como su esposo, eran adultos mayores, que por la situación de la pandemia preferían salir lo menos posible de la casa; a lo que la persona identificada como J.B.údez le dijo que podrían avanzar con el trámite por medio de la plataforma digital del Banco y que él les podría ayudar, en forma remota y que ingresara por favor a la siguiente página del BNCR: serviciosdigitalesbn-fi.com. La actora M.S. ingresó a ese sitio web, el cual parecía exactamente igual al del BNCR. Escribió su nombre, usuario y Token, solo esa única vez, y llenó una solicitud para Token nuevo. Luego, la persona identificada como J.B.údez le indicó a la aquí demandante que le entregarían el Token al día siguiente, lo que no sucedió (declaración de la aquí actora y de Rigioni Álvarez, informe DS-632-2021 visible en las imágenes 145 a 151 del expediente judicial digital escaneado en un único archivo PDF). De igual manera, en el hecho no probado antecedido con el no. 5, no cuestionado por el casacionista, se indicó: La demandante Meyers Skredsvig haya revelado por negligencia, impericia o dolo, su Token o información personal, de sus tarjetas o sus cuentas a terceras personas, para que ingresaran, se registraran, utilizaran los servicios del Sistema de Internet Banking del BNCR o efectuaran las transacciones de su cuenta corriente en colones y cuenta de ahorro en dólares el 11 de febrero del 2021. A la luz de ese marco fáctico, distinto a lo afirmado por el impugnante, tal y como se expuso en los apartados XIII y XVIII, de esta resolución, las personas juzgadoras, fueron claras al señalar que la actora no compartió información personal de sus cuentas, pues, únicamente digitó un OTP con el cual, acorde a la experticia, no se podían realizar los diferentes movimientos que se efectuaron. Empero, el recurrente no cuestionó las razones brindadas por las personas juzgadoras. Ni siquiera aludió a los fundamentos brindados para denegar la eximente de responsabilidad de culpa de la víctima, lo cual torna informal lo alegado.

XXIII. SEGUNDO. En el segundo párrafo de la página 13 señaló el objetante: Note su autoridad que resultando que se tuvo por acreditado que la fuga de información sensible no se produjo a partir de la vulneración de los delincuentes a los sistemas informáticos del banco, sino por el contrario por la negligencia de la demandante en cuanto a la custodia de su información sensible y, realizando la supresión hipotética de dicho hecho probado, a todas luces el hecho ilícito no se hubiera consumado, configurándose por ende la culpa de la víctima como eximente de responsabilidad en favor del banco. Como ya se indicó, las personas juzgadoras, distinto a lo argumentado por el recurrente, no acreditaron que, por negligencia de la actora, los delincuentes pudieron ingresar a sus cuentas. Fueron enfáticos, se insiste, al afirmar que ella no compartió información personal de sus cuentas. No obstante, el impugnante hizo un alegato divorciado de la sentencia cuestionada. Tampoco objetó los argumentos brindados para rechazar la eximente de responsabilidad de culpa de la víctima, expuestos en el apartado XVIII de esta resolución. Lo indicado hace que lo argüido por el casacionista resulte fútil a efecto de variar lo resuelto. TERCERO. En el último párrafo de dicha página 13 indicó: Los sistemas de seguridad del banco nunca fueron vulnerados y el hecho ilícito jamás se hubiera materializado si el cliente, hubieran [sic] cumplido con la sencilla obligación de no suministrar sus claves de acceso a terceros, este hecho y no otro, es la causa directa y eficiente de la sustracción de los dineros por los delincuentes y, por ende, el banco resulta absolutamente ajeno a dicho daño. Distinto a lo alegado, como ya se ha expuesto, el Tribunal señaló 10 riesgos o vulnerabilidades que padeció el sistema de seguridad del Banco en el caso de la actora. Sin embargo, el recurrente no objetó ninguno en el agravio en estudio. Esto hace que lo señalado no pase de ser un alegato meramente argumentativo, ayuno de todo sustento fáctico y jurídico, resultando anodino para variar lo resuelto.

XXIV. En el tercer agravio, quinto acorde al orden el recurso, página 14, anunció el recurrente interponerlo por la razón prevista en el artículo 138 inciso c) del CPCA: Cuando se haya aplicado o interpretado indebidamente una norma jurídica o se haya dejado de aplicar. Invocó transgredidos los ordinales 411, 628 del Código de Comercio; 2 inciso 1 del Decreto Ejecutivo no. 33018 del 20 de marzo de 2006, Reglamento a la Ley de Certificados, Firmas Digitales y Documentos Electrónicos y 704 del Código Civil. El Tribunal tuvo por cierto y válido, desde el punto de vista jurídico, que las partes están en facultad de acordar, como en efecto lo hicieron, el que el ingreso al sistema de banca en línea, y la administración de las cuentas, se realizara a través de un sistema de autenticación. Afirmó, expuso, que un sistema de autenticación no asegura la identidad del cliente que accede al sistema y que, por ello, el único medio de acceso al sistema que garantiza la autoría de las transacciones es la firma digital. A partir de lo cual, argumentó que, al permitir el sistema que el ingreso y las transacciones se realicen con un medio distinto de la firma digital, introduce un riesgo que su representado está en el deber de asumir. La anterior línea de argumentación, señaló, transgrede, por falta de aplicación, los numerales 628 del Código de Comercio, en tanto establece la facultad de las partes de pactar la forma y, por ende, los medios para el retiro de los fondos de la cuenta; el 411 íbid, que dispone que los contratos de comercio no están sujetos, para su validez, a ninguna formalidad especial; 2 inciso 1 del Decreto Ejecutivo no. 33018, en el tanto admite que la identificación de un individuo, en una plataforma electrónica, se realice a través de medios de autenticación. En apego a lo dispuesto en el referido canon 628 del Código M., el Banco acordó con la actora -aspecto que la sentencia tuvo por acreditado- que el ingreso al sistema de banca en línea pudiera realizarse a través de un sistema de autenticación, conforme al numeral 2 inciso 1 del Decreto ejecutivo no. 33018, que dispone que la autenticación es la verificación de la identidad de un individuo que se manifiesta en el proceso de registro mediante la evaluación de las credenciales de la entidad final como evidencia de que realmente es quien dice ser, y durante el uso, por medio de la comparación de las credenciales, dentro de las cuales mencionó los códigos de usuario y las contraseñas, entre otros, con los valores previamente almacenados para comprobar la identidad. Al afirmar, erróneamente, que la firma digital es la única forma de verificar la identidad de la clienta y establecer la autoría de las transacciones, la sentencia violó, por falta de aplicación, los cánones indicados, en tanto, en conjunto, establecen como norma que: 1) las partes pueden acordar libremente la forma para acceder a las cuentas, lo cual incluye la posibilidad de que el ingreso se realice a través de un sistema de autenticación; 2) que la autenticación se entiende como la forma en que un sistema verifica o se asegura que un usuario que intenta acceder y realizar acciones dentro del sistema, es quien dice ser y que tiene autorización para hacer lo que pretende, y que no busca identificar a la persona; 3) que dicho sistema de autenticación acordado por las partes permite verificar la identidad de la persona que accede al sistema mediante la evaluación de sus credenciales como la contraseña, código de usuario y factores de doble autenticación, y la comparación de estas con los parámetros previamente ingresados al sistema, todo en orden a verificar la identidad de la persona. Si el Tribunal hubiera aplicado correctamente las normas indicadas, el fallo hubiera debido tener por acreditado que, al realizarse el ingreso al sistema de banca en línea por medio de las credenciales asignadas en forma personal, confidencial e intransferible a la actora, para los efectos del sistema y del Banco, las transacciones fueron válidamente realizadas. Acreditado lo anterior, y debidamente probado que la actora facilitó su información privada y confidencial a terceras personas ajenas a la relación entre esta y el Banco, no existe otra conclusión posible, en términos de causalidad adecuada, según el artículo 704 del Código Civil, que se vulneró por falta de aplicación, y el principio de razonabilidad, que la causa eficiente y directa del daño fue la actuación de la actora, al facilitar su información privada que constituye las herramientas de ingreso y de seguridad del sistema, a quienes perpetraron el fraude. No como se argumentó, concluyó, el hecho de que el sistema permitiera el registro y administración de cuentas a través de un medio distinto a la firma digital.

XXV. Tal y como se colige de lo expuesto en los apartados VI y VIII de esta resolución, el Tribunal no indicó que la firma digital fuera la única forma de verificar la identidad de las personas clientas y establecer la autoría de las transacciones. Lo que señaló fue que, la firma digital, junto con la identificación personal -cédula de identidad- son las dos formas de identificación que están legalmente establecidas por el ordenamiento jurídico. Agregando que, como práctica comercial, los proveedores de servicios bancarios optan por proponer o plantear al consumidor financiero otras formas de identificación distintas (virtuales), que resultan válidas, pero riesgosas. Sin embargo, en el Considerando VII de esta resolución, se brindaron las razones por las cuales esta Cámara estima que, tanto dichas formas de identificación, como las pactadas contractualmente, están autorizadas por el ordenamiento jurídico. Por demás, como se ha expuesto, las personas juzgadoras brindaron 10 riesgos o vulnerabilidades que padeció el sistema de seguridad del Banco en el caso de la actora, las cuales facilitaron que los delincuentes ingresaran a las cuestas de ahorro y corriente de la actora y hurtaran los dineros. También, dieron dos razones para desechar la eximente de responsabilidad de culpa de la víctima y cuatro para la de hecho de un tercero. Sin embargo, el recurrente, en la censura en estudio, solo se refirió al primer riesgo encontrado, el denominado por las personas Juzgadoras como la identificación de las personas frente al uso de los servicios de la banca electrónica, referido al uso de la firma digital. En consecuencia, al no objetarse las demás razones señaladas por las personas juzgadoras a fin de acoger la demanda, lo indicado en el agravio en estudio deviene intrascendente a efecto de variar lo resuelto, imponiéndose su rechazo de plano.

XXVI. En el cuarto y último reparo, primero acorde al orden del recurso, página dos, anunció el recurrente interponerlo por: VIOLACIÓN DE NORMAS SUSTANTIVAS DEL ORDENAMIENTO JURÍDICO, ARTÍCULO 138 INCISO D) CUANDO LA SENTENCIA VIOLE LAS NORMAS O LOS PRINCIPIOS DEL DERECHO CONSTITUCIONAL, ENTRE OTROS, LA RAZONABILIDAD, PROPORCIONALIDAD Y EQUILIBRIO DE INTERESES. A SU VEZ, EL VICIO PRECITADO SE PRESENTA EN CONJUNTO CON MOTIVO DE INDEBIDA FUNDAMENTACIÓN DE LA SENTENCIA, INCONGRUECIA Y TRANGRESIÓN AL PRINCIPIO DE DERIVACIÓN. (Lo subrayado y resaltado es del original). Ello por cuanto, manifestó, según se expuso en el considerando III de la sentencia cuestionada, denominado Objeto del proceso, la parte actora pretendió se declare la responsabilidad civil objetiva del BNCR, y se le condene al pago de la totalidad de los daños emergentes ocasionados por las transferencias y pago de servicios fraudulentos en su perjuicio, más los intereses legales correspondientes. Monto que, anotó, asciende a la suma de ¡32.644.698,00. Dicho daño, anotó, se deriva de la sustracción ilícita de fondos, por parte de terceras personas, de las cuentas nos. 200-02-036-542137-0 y 100-01-000-138555-8, por las sumas de US. $44.701,98 y ¡18.902.400,00, respectivamente. De igual manera, agregó, formuló una petitoria secundaria, sobre una posible declaratoria de culpa concurrente entre ella y su representado. Se cuestionó, ¿por qué es importante este punto? Porque, desde el inicio de este proceso, la demandante preveía que podía ser condenada, al haber otorgado información bancaria sensible, como la contraseña de acceso al servicio de Internet Banking, que solo ella poseía, los números de token generados con el dispositivo que estaba bajo su estricta supervisión y los códigos de seguridad que eran remitidos a su celular o correo electrónico, medios que, de previo, habían sido registrados por la misma actora en el ente bancario y que demuestran su ajenidad al daño. Transcribió la parte dispositiva del fallo. El Tribunal, alegó, llegó a la conclusión de que el Banco es responsable de la sustracción ilícita de los fondos de las cuentas de la actora, en lo medular, sustentado en los hechos probados de la sentencia marcados con los nos. 3, 10, 11, 13, 14 y 14 (sic, debía ser el 15), los cuales reprodujo. Se tuvo por acreditado, indicó, que las cuentas de la accionante contaban con los siguientes mecanismos de seguridad: a) clave de usuario (de conocimiento exclusivo de la actora), b) token llavero (de conocimiento y custodia exclusivos de la demandante) y c) código de seguridad (tercer mecanismo de seguridad para verificar la identidad del cliente, en caso de que requiera afiliar una cuenta o cambiar a software token. Lo anterior, señaló, fue debidamente demostrado con el informe pericial rendido en autos. C.ó y pego la ilustración no. 2 del informe pericial, en la cual se indicó Ingreso del OTP una vez validado el usuario 0800910934 y su contraseña personal. (Creación propia, 2022). Dicha probanza, manifestó, es concluyente en el sentido de que, para acceder a la plataforma de Internet Banking, resulta indispensable que el cliente ingrese su usuario, posteriormente su contraseña y, por último, el OTP generado por el dispositivo token. Contrario sensu, expuso, en ausencia de tales mecanismos de seguridad, resulta imposible acceder al sistema. Adicionalmente, añadió, la experticia también fue concluyente en el sentido de que, para realizar las transacciones ilícitas indicadas en los hechos probados 14 y 14 bis, no solo se debía ingresar a Internet Banking por medio de los mecanismos de seguridad indicados; sino que, además, los delincuentes debían ingresar al sistema los OTP y códigos de seguridad de conocimiento exclusivo de la demandante. C.ó la ilustración no. 3, P. de cambio de límite diario para transferencias electrónicas de fondos dentro del sitio del BNCR. (Creación propia, 2022) del informe pericial. Manifestó, para cambiar el límite diario de recargas telefónicas, era necesario un código de seguridad que es remitido al teléfono celular o al correo electrónico. También, reprodujo la ilustración no. 4, Pantalla de cambio de límite diario para recargas telefónicas dentro del sitio del BNCR (Creación propia, 2022). Para incluir cuentas favoritas, dijo, se solicita un código OTP y, adicional, un código de seguridad que es remitido al teléfono celular o al correo electrónico. De igual manera, copio las imágenes 5, 6 y 7 del informe pericial, referidas a Primera pantalla para realizar el ingreso de cuentas favoritas en donde se solicita un código OTP. (Creación propia 2022), Pantalla con el segundo paso para la inclusión de cuentas favoritas en donde se elige el método de notificación. (Creación propia 2022) y Pantalla con el tercer y último paso para la inclusión de cuentas favoritas en donde se solicita el código que fue enviado previamente al medio de notificación seleccionado. (Creación propia, 2022), respectivamente. Transcribió la conclusión a la que arribó el experto. No obstante, señaló, aun y cuando el Tribunal tuvo por probado: a) que los delincuentes ingresaron a las cuentas de la demandante utilizando dichos mecanismos de seguridad, b) que se hicieron con dichos mecanismos por medio de un ardid a la cliente, haciéndose pasar por funcionarios bancarios y que esta los entregó, c) que los sistemas informáticos del banco no fueron vulnerados y, d) que para realizar las transferencias, adicionalmente, se tenían que ingresar los OTP´s y códigos de seguridad del cliente; concluyó que, a pesar de la clara y evidente fuga de información sensible por parte de la cliente, no se logró acreditar la ajenidad del daño por parte del Banco, a quien estimó único responsable de la sustracción de los fondos. La tesis del Tribunal, comentó, para no tener por demostrada la ajenidad del daño en relación con el BNCR, se encuentra visible en el apartado VIII de la sentencia. Concluyó exponiendo lo que, en su criterio, consiste lo ahí considerado.

XXVII. Pese a lo confuso de cómo se anunció la interposición del reparo, lo analiza esta Cámara de la siguiente manera. PRIMERO. Luego de un análisis pormenorizado de lo argüido por el recurrente, se determina con absoluta claridad, y distinto a lo anunciado, el meollo de lo recriminado es la indebida valoración tanto del escrito de demanda como del dictamen pericial practicado en autos, al no haberse acreditado la ajenidad del daño respecto al BNCR. E., de darse lo argüido, se enmarcaría en la causal por violación de normas sustantivas prevista en el inciso a) de dicho precepto: Cuando se atribuya a la prueba una indebida valoración o se haya preterido. No obstante, es informal. El casacionista omitió su deber de indicar la norma de fondo que resultó transgredida por la indebida valoración de los elementos de convicción indicados, con la explicación clara y precisa de cómo sucedió el desafuero, tal y como la técnica casacional lo exige, según se anotó en el apartado IV de esta resolución, al amparo de lo previsto en el canon 139 inciso 3) del CPCA. C., se impone el rechazo de plano del agravio en estudio.

XXVIII. Sin perjuicio de lo indicado en el apartado anterior y, a mayor abundamiento de razones, se impone indicar lo siguiente. SEGUNDO. En la página dos del libelo manifestó el objetante: En lo medular, según se expone en el considerando número III objeto [sic] del proceso" de la sentencia recurrida, la parte actora pretende que en sentencia se declare la responsabilidad civil objetiva del Banco Nacional de Costa Rica y se le condene al pago de la totalidad de los daños emergentes ocasionados, por las transferencias y pago de servicios fraudulentos en su perjuicio (más los intereses legales correspondientes) que ascienden a las sumas de ¡32.644.698; dicho daño deriva de la sustracción ilícita de fondos por parte de terceras personas, de las cuentas con el Banco Nacional números 200-02-036-542137-0 y 100-01-000-138555-8, por las sumas de $44,701.98 y ¡18,902,400.00, respectivamente. (Lo subrayado es del original). Como se colige con claridad, el recurrente aludió a la eximente de responsabilidad de hecho de un tercero. Sin embargo, lo expuesto no pasa de ser un alegato meramente argumentativo, ayuno de todo sustento fáctico y jurídico. Como se expuso en el Considerando XIX de esta resolución, las personas juzgadoras brindaron cuatro razones por las cuales, a su juicio, dicha eximente de responsabilidad no aplica en esta lite. Empero, el impugnante no se refirió a ninguna de ellas. Por lo tanto, lo indicado resulta fútil a efecto de quebrar lo resuelto.

XXIX. TERCERO. En esa misma página dos y en la tres, señaló: Asimismo, la actora en su escrito de demanda también realizó un [sic] petitoria secundaria, sobre una posible declaratoria de culpa concurrente entre la actora y mi representada [sic]. ¿Por qué es importante este punto? Porque desde el inicio de la presente demanda la actora ya preveía que podría ser condenada en este proceso, al haber otorgado información bancaria sensible, como lo es la contraseña de acceso al servicio de Internet Banking (que solo ella poseía), los números de token generados con el dispositivo que estaba bajo su estricta supervisión y los códigos de seguridad que eran remitidos a su celular o correo electrónico, medios que de previo habían sido registrados por la misma actora en nuestra institución y que demuestran la ajenidad del daño por parte del Banco Nacional de Costa Rica. (Lo subrayado es del original). Al igual que en el punto anterior, en el presente, el recurrente efectuó una argumentación divorciada de lo resuelto por las personas juzgadoras. Como se indicó en los apartados XIII y XVIII, las personas juzgadoras indicaron que la actora no compartió información personal de sus cuentas, pues, únicamente digitó un token. También, que el sistema no generó alertas por los diferentes movimientos efectuados (apartado XV). No obstante, el recurrente ni siquiera aludió a lo indicado por los juzgadores, menos los cuestionó. Tampoco se refirió a todas las vulnerabilidades del sistema que encontraron las personas Juzgadoras. Esto conlleva que lo manifestado resulte insuficiente para variar lo resuelto. CUARTO. En torno a lo manifestado en las páginas 6, 7, 8 y 9, respecto a la supuesta indebida valoración de la experticia rendida en autos, además de lo expuesto en el punto PRIMERO en torno a la informalidad de lo alegado, por no citarse la norma de fondo que resultó vulnerada; se insiste, el casacionista no objetó todos los riesgos o vulnerabilidades del sistema de Internet Banking que encontraron las personas Juzgadoras. Esto hace que, al igual que en el punto anterior, lo manifestado resulte anodino a efecto de modificar lo resuelto. QUINTO. En la página nueve, señaló el impugnante: No obstante lo anterior, aun [sic] y cuando, el Tribunal Contencioso tiene por probado: a) que los delincuentes ingresaron a las cuentas de la demandante utilizando dichos mecanismos de seguridad, b) que los delincuentes se hicieron con dichos mecanismos por medio de un ardid a la cliente, haciéndose pasar por funcionarios bancarios y que esta entregó tales mecanismos, c) que los sistemas informáticos del banco no fueron vulnerados y, d) que para realizar las transferencias, adicionalmente se tenían que ingresar los OTP y códigos de seguridad del cliente, este concluye que a pesar de la clara y evidente fuga de información sensible por parte de la cliente, ello no logra acreditar la ajenidad del daño por parte del banco, a quien estima único responsable de la sustracción de fondos. Lo alegado no pasa de ser un alegato meramente argumentativo sin sustento fáctico ni jurídico. Como se ha indicado, distinto a lo manifestado por el casacionista, las personas juzgadoras señalaron 10 riesgos o vulnerabilidades que, a su juicio, sufrió el sistema informático del Banco en este caso, los cuales hicieron posible que los delincuentes entraran al sistema y sustrajeran los fondos de las cuentas de la actora, lo cual hace que no se produzca la ajenidad del daño, al no haberse brindado la seguridad requerida en este tipo de transacciones electrónicas, por lo que el Banco es responsable por dichos riesgos. Sin embargo, el recurrente no cuestionó todos esos riesgos. Tampoco aludió a las razones que brindaron las personas juzgadoras para rechazar las eximentes de responsabilidad de culpa de la víctima y hecho de un tercero, expuestas en los apartados XVIII y XIX de esta resolución. Esto también hace que lo argüido resulte inocuo a efecto de variar lo resuelto. SEXTO. En la página 10, señaló: La tesis del Tribunal Contencioso para no tener por demostrada la ajenidad del daño en relación con el Banco Nacional, se encuentra visible en el considerando VIII de la sentencia, que en lo medular señala lo siguiente: / 1. Que las dos formas de identificación personal reconocidas por nuestro ordenamiento jurídico lo son el documento de identificación personal físico (cédula de identidad) y el documento de identificación digital (firma digital), en cuyo caso si el banco decidió implementar otros mecanismos para identificar a sus clientes ... como lo son el uso de las tarjetas de crédito o de débito, las claves o los números de PIN para el uso de los cajeros electrónicos, el teclado virtual o los Token, entre otras..." lo hace bajo su cuenta y riesgo, pues en tesis del Tribunal el banco debe exigir a todos sus clientes la firma digital como principal mecanismo de identificación para ingresar a la plataforma de Internet Banking, pese a que el mismo Tribunal reconoce que: "...no todas las personas cuentan con firma digital, por el costo que esta conlleva.... / 2. Que los mecanismos de autenticación de clientes asignados por el Banco Nacional para realizar transacciones en Internet Banking OTP generados por Token, no resultan suficientes a los efectos de proteger al cliente de los riesgos de la Ciberdelincuencia. En primer lugar, ha de aclararse que el Tribunal, a partir del considerando IX -no VIII- y hasta el XIII, expuso los 10 riesgos o vulnerabilidades que padeció el sistema Internet Banking, lo cual, a su juicio, motivó que los delincuentes pudieran ingresar a las cuentas de la actora y hurtaron los fundos de sus cuentas de ahorro y corriente. En Segundo término, como se observa, el impugnante solo alude a uno de esos riesgos o vulnerabilidades, el expuesto en el apartado IX de la sentencia cuestionada, denominado por el Tribunal por como la identificación de las personas frente al uso de los servicios de la banca electrónica. Además, lo que hizo fue exponer la tesis del Tribunal, pero sin cuestionarla o brindar razones por las cuales, a su juicio, resulta errónea. Por último, no hizo ningún comentario en torno a los restantes nueve riesgos o vulnerabilidades, lo cual hace que, al igual que en los puntos anteriores, lo señalado resulte fútil a efecto de variar lo resuelto.

XXX. En mérito de las razones apuntadas, ante la evidente omisión en combatirse de manera sistemática y específica los fundamentos de la resolución impugnada, siendo simples y genéricas disconformidades de criterio, se determina que el recurso interpuesto resulta insuficiente para generar la revisión del fallo controvertido en esta sede al carecer de fundamentación jurídica, por lo que se impone su rechazo de plano (numeral 140 inciso c) del CPCA).

XXXI. Nota del magistrado R. Loáiciga. Este recurso de C.ón fue rechazado por la Sala I. La demanda fue acogida contra el Banco Nacional por el Tribunal Contencioso Administrativo, que lo condena a pagarle a la actora, el dinero sustraído por un tercero, de sus cuentas bancarias. La actora entregó sus claves a esa otra persona que la llamó por teléfono y le ofreció ayuda para cambiar el token, lo que ella hizo, entregar sus claves es ajeno al Banco. El dinero fue sustraído de las cuentas bancarias, usando las claves que la actora entregó a ese tercero. Esa persona era otra diferente al Banco Nacional, que era custodio de sus bienes. El Banco, en su recurso, aduce que la causa de pedir fue cambiada, porque el Tribunal, se funda en que no se dotó de firma digital a la actora, e incurrió el Banco, en una responsabilidad civil objetiva. Este recurso fue rechazado por informal, pero se refiere al contenido. Para quien suscribe efectivamente se cambia la causa de pedir y hay incongruencia. De la entrega de las claves a un tercero, se pasa al supuesto deber del Banco de dotar a la actora de firma digital. Y, esto, para quien pone la nota, no está previsto como ¨iura novit curia¨ estos son dos hechos naturales diferentes, dos causas de pedir distintas y es sorpresivo. Tampoco comparte el cambio de criterio del concepto de ajenidad por su independencia judicial, que hace el Tribunal.

POR TANTO

Se rechaza de plano el recurso formulado. Nota del Magistrado R. Loáiciga.

	*X4SZ82O7MXS61* X4SZ82O7MXS61 L.G.R.L. - MAGISTRADO/A
*EWXR25H4HBC61* EWXR25H4HBC61 C.G.Z. CAMPOS - MAGISTRADO/A		*EH0MEMR53XS61* EH0MEMR53XS61 D.M.V.V. - MAGISTRADO/A
*EOJWGRRF03U61* EOJWGRRF03U61 I.J.M. DOBLES - MAGISTRADO/A		*NP6F47WGOFLI61* NP6F47WGOFLI61 J.L.P. - MAGISTRADO/A