MEDIDAS DE SEGURIDAD EN EL SISTEMA DE TARJETAS DE … · interno y que –a su vez- se ha ... estos...

MEDIDAS DE SEGURIDAD EN EL SISTEMA DE TARJETAS DE CRÉDITO:

UNA FORMA DE PROTEGER LOS DERECHOS DEL CONSUMIDOR DE

SERVICIOS FINANCIEROS

Ivonne Cristina Ortega Vargas

I.- INTRODUCCIÓN.

En los últimos años el mercado financiero se ha expandido considerablemente, siendo una de las principales manifestaciones de

SUMARIO I. Introducción. II. El marco de análisis. III. Problemática actual en el uso de tarjetas de

crédito. IV. Alternativas ante la problemática encontrada. V. Conclusiones.


234 - RPDE

ello el aumento de tarjetahabientes en nuestro país. Dicha situación ha demandado el planteamiento de soluciones a problemas cada vez más frecuentes en el uso diario de este medio de pago por parte de los consumidores. Entre dichas cuestiones, el tema de seguridad en la tarjeta de crédito se ha constituido como uno de los problemas que más ha demandado la intervención del Estado en sus distintas funciones (a través de la función legislativa, jurisdiccional y administrativa). El presente artículo tiene por objetivo plantear algunos de los principales problemas que se suscitan en la seguridad (o falta de ella) en el uso de tarjetas de crédito en nuestro país y su afectación sobre los derechos del consumidor. Ello con la finalidad de entender un poco mejor cómo funciona este sistema; y en esa línea, plantear algunas medidas para fortalecer el mercado financiero y proveer de mayor seguridad al consumidor financiero. II.- EL MARCO DE ANÁLISIS.

2.1. El Desarrollo del Mercado

Desde el año 2000 la economía nacional ha experimentado un crecimiento sostenido, producto de un conjunto de factores internos y externos que favorecieron el aumento del poder adquisitivo del consumidor promedio, y por tanto, un aumento constante del gasto y del consumo interno.

Uno de los mercados que ha favorecido este crecimiento del gasto interno y que –a su vez- se ha beneficiado del mismo, es el sector bancario. Así, el aumento del poder adquisitivo, y la confianza ha conllevado una mayor demanda de productos y servicios. Es en este contexto que se ha dado el aumento del llamado “consumidor financiero”, que no es otro que aquel consumidor que utiliza diversos productos bancarios (créditos personales, hipotecarios, vehiculares, y de consumo) para financiar las transacciones que desea realizar.

Medidas de Seguridad en el Sistema de Tarjetas de Crédito: Una forma de Proteger los Derechos del Consumidor de Servicios Financieros

RPDE - 235

De acuerdo a Enrique Arroyo, Gerente General de ASBANC1 a septiembre de 2007, el número de tarjetas de crédito llegó a 5´027,350, cifra mayor en 723,382 tarjetas de crédito (16%) a la registrada el año anterior. De igual manera precisó que se ha presentado en los últimos 3 años un crecimiento anual sostenido de 30% en los montos utilizados por los consumidores de tarjetas de crédito o tarjetahabientes2. Considerando un crecimiento similar, al 2008, el número de tarjetas de crédito pudo haber ascendido a cerca de 6´000,000.

Las cifras demuestran entonces que estamos ante un mercado relevante, el mismo que requiere de una regulación adecuada para garantizar la seguridad de las transacciones llevadas a cabo con los medios de pago en cuestión y que implique la prestación de un servicio acorde a las normas de Protección al Consumidor.

A continuación entonces, se analizará la normativa del sector que regula la seguridad en tarjetas de crédito en aras de la protección a los derechos del consumidor.

2.2. Regulación normativa en materia de seguridad de Tarjetas de Crédito

En materia de protección al consumidor y servicios financieros, nuestro ordenamiento jurídico cuenta con dos organismos reguladores, la Superintendencia de Banca, Seguros y AFP´s (SBS) y el Instituto de Defensa de la Competencia y de la Propiedad Intelectual (INDECOPI), este último representado para dichos fines por la Comisión de Protección al Consumidor. Ambos organismos coexisten en el sistema, sin embargo, el primero busca la estabilidad y el buen funcionamiento de la banca, y en esa medida, el beneficio indirecto del consumidor por el correcto manejo de las transacciones financieras, mientras que, a diferencia de la SBS, el segundo tiene por objetivo primordial la protección a los intereses del consumidor en sus

1 Asociación de Bancos del Perú. 2 Información tomada de declaraciones brindadas por Enrique Arroyo y que fueron recogidas en http://www.rpp.com.pe/2008-02-07-financiamiento-con-tarjetas-de-credito-crecio-35-47--el-ano-pasado-noticia_113630.html y en el Portal de la Revista Business Negocios en el Perú: http://www.businessperu.com.pe/


236 - RPDE

diversas relaciones de consumo, entre ellas las entabladas con el proveedor de servicios financieros.

En esa línea, y considerando los fines institucionales que cada una de las entidades descritas tiene, corresponde evaluar la normativa que, en la materia que nos ocupa, ha sido promulgada en nuestro ordenamiento jurídico.

Al respecto, empezaremos analizando el recientemente promulgado Reglamento de Tarjetas de Crédito3, norma que ha introducido una serie de dispositivos con el objetivo de llenar aquellos vacíos no previstos en su antecesora y que fueron denotados como consecuencia de diversos reclamos y denuncias de consumidores de servicios financieros.

En retrospectiva, una de las críticas que se podrían realizar en materia de seguridad al antiguo Reglamento de Tarjetas de Crédito4 es que éste era bastante exiguo y genérico, ya que no establecía estándares mínimos de seguridad o mecanismos idóneos de garanticen una adecuada fiscalización sobre el modelo establecido por las entidades financieras, con fines de protección al consumidor; por el contrario, la norma en cuestión se limitaba a instituir en su artículo 28º las obligaciones de los establecimientos comerciales al momento de procesar una operación con una tarjeta de crédito, lo cual además resultaba bastante cuestionable, por crear en una norma sectorial con fines de regulación bancaria, obligaciones a proveedores ajenos al sistema financiero y sobre los cuales la SBS no contaba con competencia.

En ese contexto, en materia de seguridad, el anterior Reglamento de Tarjetas de Crédito señalaba como obligaciones de los establecimientos comerciales afiliados, el verificar que la tarjeta de crédito estuviera en vigencia, así como la identidad del usuario; comprobar que la firma del usuario en la orden de pago correspondiera a la que figuraba en su tarjeta de crédito, limitar el 3 Aprobado mediante Resolución SBS Nº 264-2008 y publicado en “El Peruano” el 13 de febrero de 2008. 4 Aprobado por Resolución SBS Nº 271-2000 del 14 de abril de 2000.


RPDE - 237

monto de la transacción a lo autorizado por la empresa emisora y cumplir con cualquier otro procedimiento que la empresa emisora considerara conveniente para la seguridad y adecuado uso de las tarjetas de crédito.

Por su parte las entidades financieras estaban en la obligación de establecer sistemas seguros de atención a los consumidores para que estos pudieran comunicar el extravío o robo de sus tarjetas de crédito, y de esta manera, proceder al bloqueo de éstas, precisándose que toda aquella transacción realizada antes del bloqueo de la tarjeta de crédito debería ser asumida por el consumidor.

Finalmente, y como una forma de equilibra la falta de estándares mínimos de seguridad, la Superintendencia de Banca, Seguros y AFP´s estipuló la necesidad de que cada entidad financiera creara un manual sobre el proceso de emisión de tarjeta y clave, activación del medio de pago y de todos aquellos mecanismos que proveyeran de protección a sus tarjetas de crédito, los mismos que debían ser puestos a disposición de su entidad, siendo sujetos de eventuales procesos de auditoría para la verificación de su efectividad.

Las medidas establecidas en el Reglamento derogado habrían resultado en un primer momento –en apariencia- suficientes y coherentes con un sistema que constantemente se encuentra en cambio por la introducción de innovaciones tecnológicas, y que por ende, requeriría de dicha flexibilización en comparación con una determinación ex lege de las medidas de seguridad, lo que dificultaría la mejora continua de sus procesos.

No obstante lo indicado, lo cierto es que, cuando se presentan denuncias y/o reclamos respecto del sistema de seguridad de tarjetas de crédito, poco o nada sabe el consumidor de las medidas que emplea cada entidad financiera para proteger o disminuir los casos de uso indebido de tarjetas de crédito; y es en este punto en que se dificulta la labor de los organismos reguladores para la protección de los intereses del consumidor de servicios financieros.


238 - RPDE

En efecto, la SBS no tiene como objetivo institucional la protección de los intereses del consumidor en forma directa; de hecho, cuando se presenta un reclamo ante dicho regulador, la SBS analiza el caso e interviene únicamente cuando detecta una falla en el sistema; es decir, cuando la entidad financiera incurre en un manejo inadecuado respecto de alguna de sus funciones de intermediación financiera, que pone en peligro potencial o real a la administración misma de dicha entidad o que implica un incumplimiento o desviación de las disposiciones del sector. En otras palabras, poniéndonos en el supuesto de que un usuario acude ante la SBS y reclama que su tarjeta de crédito ha sido clonada por ejemplo, dicho organismo regulador verificará si el sistema de seguridad de la entidad financiera es o no adecuado para disminuir los casos de clonación y sólo intervendrá en caso de que ello no sea así; mas no analizará el caso en concreto, por el contrario, recomendará al reclamante que acuda al INDECOPI para que este organismo verifique si es que sus intereses particulares de consumidor se han visto afectados o no.

Aunado a lo anterior, se han detectado dificultades en la labor de la Comisión de Protección al Consumidor del INDECOPI (CPC) para verificar la existencia o no de infracción, primordialmente en aquellos casos de consumos fraudulentos y de clonación; en los que no existe una determinación clara de cuáles son los mínimos requeridos para considerar a un sistema como “seguro” e idóneo al consumidor, y donde la actividad probatoria se presenta como dificultosa y poco clara tanto para las partes del procedimiento, como para el órgano regulador; ello, básicamente por la falta de un referente normativo que precise qué medidas deben ser consideradas seguras; hecho que no ha sido inadvertido por las entidades financieras, las mismas que utilizan dicho argumento como un medio de defensa para alegar la falta de infracción a la Ley de Protección al Consumidor.

Al respecto, el actual Reglamento de Tarjetas de Crédito pareciera intentar establecer un panorama más claro de regulación; sin embargo, si tuvo dicho objetivo, el mismo no alcanza a ser cumplido, ya que no precisa el funcionamiento del sistema para su adecuada fiscalización en casos de presunto defecto en el servicio.


RPDE - 239

Así, a las normas ya existentes en el antiguo dispositivo, el actual Reglamento señala expresamente la obligación de las entidades financieras de “adoptar medidas de seguridad apropiadas para determinar la validez y vigencia de la tarjeta de crédito y la identidad de sus titulares y/o usuarios, así como para dar cumplimiento a las condiciones de uso de la tarjeta de crédito”; empero, no precisa qué se entiende por medidas adecuadas, ni condiciones para el uso de tarjetas de crédito; con lo cual la supervisión de la labor de las entidades financieras al analizar si existió o no infracción a los derechos del consumidor quedan nuevamente sin un marco de análisis.

De igual manera, dicha idea se encuentra reforzada con lo precisado en su artículo 14º, el cual expresa:

Artículo 14º.- Cargos indebidos Las empresas deberán implementar sistemas y procedimientos razonables y prudentes que permitan disminuir la posibilidad de ocurrencia de cargos indebidos, cualquiera que éstos sean, incluyendo los que se deriven de la sustracción o robo de la información contenida en la tarjeta de crédito. Dichos sistemas y procedimientos deben permitir a los titulares y usuarios comunicar los referidos cargos indebidos.

Nuevamente, ¿Qué debe entenderse por “razonables y prudentes”? ¿De qué manera se puede afirmar que un sistema es razonable y prudente? ¿Por la cantidad de denuncias en comparación con el universo de tarjetas de crédito emitidas? ¿Cómo se llega a determinar finalmente que existe un defecto de seguridad en el sistema establecido? ¿Mediante qué medios?; todas estas preguntas surgen cada vez que un consumidor acude a reclamar sus derechos alegando que se ha utilizado indebidamente su tarjeta de crédito, que se han presentado cargos que no reconoce o que considera que su tarjeta ha sido clonada.


240 - RPDE

Por otro lado, el nuevo Reglamento de Tarjetas de Crédito introduce como una obligación de las entidades financieras que operan tarjetas de crédito, el contar con sistemas de monitoreo de transacciones, los cuales funcionan haciendo un análisis del perfil de consumo de cada tarjetahabiente, activando una señal de alerta cuando se produce un consumo o consumos que escapan a dicho perfil y que por tanto son calificadas de “sospechosas”, bloqueando temporalmente la tarjeta de crédito a fin de obligar al usuario a comunicarse con el área de monitoreo del Banco para corroborar su identidad y proseguir con la operación. Cabe acotar que esta medida ya ha sido implementada en la realidad, por lo que su incorporación en la Ley es una respuesta a la efectividad de la medida que, salvo ciertas excepciones, ha resultado bastante eficiente en la práctica.

Finalmente, como una medida adicional, el nuevo Reglamento de Tarjetas de Crédito refiere que las entidades que emitan tarjetas de crédito podrán contratar pólizas de seguro y crear mecanismos de protección o contingencia que les permitan cubrir las transacciones no autorizadas que se realicen antes o después de la comunicación del titular o usuario sobre la sustracción o extravío, fraude y otros. En la realidad, sin embargo, dichos seguros han estado diseñados para proteger a los consumidores de aquellos consumos producidos luego del bloqueo de la tarjeta de crédito, lo que en buena cuenta, protege lo que finalmente es un error de la entidad financiera, ya que conforme a la normativa ya analizada en líneas previas, es el emisor de la tarjeta de crédito el responsable por las operaciones realizadas con posterioridad al bloqueo del medio de pago.

Resultaría más bien interesante la emisión de un seguro para operaciones no autorizadas realizadas antes del bloqueo de la tarjeta de crédito, las cuales sí tendrían como objetivo proteger al consumidor de operaciones que –sin la protección del seguro- tendrían que ser asumidas por él o por los establecimientos comerciales afiliados a la tarjeta de crédito que no hayan cumplido verificar la identidad del portador del medio de pago.


RPDE - 241

En lo relativo a la Ley de Protección al Consumidor, el Texto Único Ordenado de la misma no contiene normas que regulen específicamente las medidas de seguridad en tarjetas de crédito; las razones de ello son múltiples, en primer lugar, la naturaleza genérica de los artículos de dicha norma que establecen los derechos del consumidor y las obligaciones generales de cualquier proveedor (debe tenerse presente que la CPC evalúa casos de presuntas infracciones a la Ley en diversos rubros comerciales); por otro lado, se ha entendido que al ser la SBS el órgano especialista en temas financieros tiene mayores elementos técnicos para fijar los requisitos de funcionamiento de la banca nacional. En consecuencia, en los casos de presunta afectación a los intereses de consumidores financieros en materia de seguridad en tarjetas de crédito, dichas pretensiones han sido encauzadas como presuntas infracciones al deber de idoneidad, contenido en el artículo 8º de la norma, y como una presunta afectación a los intereses económicos del consumidor, estipulado en el artículo 5º inciso d) de la Ley de Protección al Consumidor5.

5 Texto Único de la Ley de Protección al Consumidor Artículo 5º.- En los términos establecidos por el presente Decreto Legislativo, los consumidores tienen los siguientes derechos: (…) d) Derecho a la protección de sus intereses económicos, mediante el trato equitativo y justo en toda transacción comercial; y a la protección contra métodos comerciales coercitivos o que impliquen desinformación o información equivocada sobre productos o servicios; Precísase que al establecer el inciso d) del Artículo 5º del Decreto a la protección de sus intereses económicos, mediante el trato equitativo y justo en toda transacción comercial, se establece que los consumidores no podrán ser discriminados por motivos de raza, sexo, nivel socioeconómico, idioma, discapacidad, preferencias políticas, creencias religiosas o de cualquier otra índole, en la adquisición de productos y prestación de servicios que se ofrecen en locales abiertos al público. (…) Artículo 8º.- Los proveedores son responsables, además, por la idoneidad y calidad de los productos y servicios; por la autenticidad de las marcas y leyendas que exhiben los productos; por la veracidad de la propaganda comercial de los productos; y por el contenido y la vida útil del producto indicados en el envase, en lo que corresponde. El proveedor se exonerará de responsabilidad únicamente si logra acreditar que existió una causa objetiva, justificada y no previsible para su actividad económica que califique como caso fortuito, fuerza mayor, hecho de tercero o negligencia del propio consumidor para no cumplir con lo ofrecido. La carga de la prueba de la idoneidad del bien o servicio corresponde al proveedor.


242 - RPDE

Existe por ende, a nuestro criterio, un vacío legal, el mismo que surge de la diferencia en las funciones y objetivos que cada entidad reguladora bajo análisis tiene. En tanto, la SBS tiene por finalidad la estabilidad de la banca, por lo cual sus normas no tendrán la suficiente especificidad que permita la adecuada corroboración de infracciones en casos concretos a los derechos del consumidor; mientras que, en el caso de la CPC, su Ley está diseñada para proteger al consumidor en las relaciones de consumo que establezca con diversos proveedores, lo cual le dificulta contar con la especialidad técnica - legal para analizar los casos que requieren un conocimiento específico del funcionamiento del sistema de seguridad bancario.

En este contexto legal, corresponde ahora analizar a los principales actores que intervienen en proceso de operaciones con tarjetas de crédito y las funciones que tienen asignadas para coadyuvar a la seguridad del uso del medio de pago. 2.3. De los actores que intervienen en las operaciones con tarjetas de crédito

Conforme ha quedado ya establecido en la jurisprudencia de la activad procesal del INDECOPI, se ha entendido que la relación contractual surgida con la emisión de una tarjeta de crédito es compleja, ello en tanto involucra a tres actores: el consumidor, la entidad financiera emisora y el establecimiento comercial afiliado.

Así, por ejemplo en la Resolución 899-2008/TDC-INDECOPI emitida por la Sala de Defensa de la Competencia del INDECOPI en los seguidos en el Expediente Nº 1205-2006/CPC, el contrato de tarjeta de crédito tiene las siguientes características:

“(…) La naturaleza trilateral de la relación contractual de la tarjeta de crédito

1. De acuerdo con la doctrina el contrato de tarjeta de

crédito es un contrato complejo con características propias, que establece una relación triangular entre un


RPDE - 243

comprador, un vendedor y una entidad financiera; y, que posibilita al primero, la adquisición de los bienes y servicios que ofrece el segundo mediante la promesa previa formulada a la entidad emisora, de abonar el precio de sus compras en un plazo dado por esta última, la que se hará cargo de la deuda abonando inmediatamente, el importe al vendedor previa deducción de las comisiones que se hayan estipulado entre ambos.

2. Las relaciones contractuales que se establecen como

consecuencia del uso de tarjetas de crédito son múltiples: una primera, entre la entidad financiera y el titular de la tarjeta; una segunda, entre el titular de la tarjeta y el establecimiento que acepta la transacción con dicho medio de pago; y, una tercera, entre la entidad financiera y el establecimiento. Adicionalmente, en el centro del proceso se encuentra el emisor de la tarjeta. Lo expuesto determina que la responsabilidad de cada uno de los sujetos que intervienen en las relaciones de consumo que involucra el uso de la tarjeta de crédito sea igualmente diferenciada, tal como lo reconoce el propio Reglamento de Tarjetas de Crédito. (…)”

En esa línea se reconoce la existencia de una responsabilidad diferenciada en cada uno de los actores referidos. De conformidad con lo resuelto por el INDECOPI, las obligaciones de cada actor se resumirían en: 2.3.1. Respecto de las entidades financieras

En tanto son las responsables de la colocación de las tarjetas de crédito en el mercado, su principal responsabilidad es la de garantizar que estos medios de pago sean “seguros”, es decir, reducir al mínimo la posibilidad de que éstas sean susceptibles de clonación, respetar las líneas de crédito otorgadas, y cumplir con las disposiciones establecidas en el Reglamento de Tarjetas de Crédito que ya fueran analizadas en el punto previo.

A lo indicado correspondería agregar que, en suma, desde la perspectiva de los derechos del consumidor, la entidad financiera


244 - RPDE

está obligada a brindar al usuario un servicio idóneo, es decir, acorde a las expectativas generadas por la información otorgada y la naturaleza misma de la prestación. En el caso de operaciones financieras de crédito, es indudable que uno de los elementos inherentes al servicio es la seguridad, sin ella simplemente se perdería la confianza en las operaciones realizadas con tarjeta de crédito y se afectaría la viabilidad de dicho mercado.

2.3.2. Respecto de los establecimientos afiliados

Como se detalló en puntos previos, uno de los puntos cuestionables del anterior Reglamento de Tarjetas de Crédito era la imposición de reglas de conducta a los establecimientos comerciales afiliados, sujetos que por su naturaleza ajena al mercado financiero, no se encuentran subordinados a la esfera de competencia de la SBS. Dicha cuestión ha sido advertida en el presente Reglamento, y aunque en estricto no se eliminan las cargas de verificación de identidad y demás al establecimiento afiliado, el nuevo artículo se encuentra redactado de forma tal que ahora es la entidad financiera quien tiene el deber de incorporar en el contrato de afiliación las medidas de seguridad que debe tomar el establecimiento comercial; fórmula que ingeniosamente salva el cuestionamiento manifestado.

El establecimiento comercial entonces tendrá la responsabilidad de verificar la identidad de los tarjetahabientes, corroborando que la firma que aparece en el voucher de pago sea la misma que la que debe constar en el reverso de la tarjeta de crédito; caso contrario, deberá rechazar el proceso de la operación. Como se verá, este es un punto clave en el proceso de seguridad en las operaciones, el mismo que ha recibido una serie de críticas por parte de los representantes de dichos establecimientos, por una serie de factores que se detallarán posteriormente.

2.3.3. Respecto del consumidor

Uno de los argumentos generalmente contrapuestos como medios de defensa en los casos de denuncias por uso indebido de tarjeta de


RPDE - 245

crédito, es aquél referido al deber del consumidor de ser diligente con el medio de pago en su custodia.

Tanto entidades financieras, como establecimientos comerciales coinciden en que un factor determinante de los fraudes producidos con tarjeta de crédito es la propia negligencia del consumidor peruano, que no tiene real entendimiento del riesgo propio del ser titular de este medio de pago y no le dan la debida importancia a la vigilancia que deben tener del plástico y de su tenencia por parte de terceros.

Ciertamente, no debe dejarse de lado que un consumidor diligente podrá tener un mayor resguardo de su tarjeta de crédito y, por ende, reducir las posibilidades de uso indebido al impedir que terceros accedan a esta o al reportar el extravío en el menor tiempo posible; no obstante, dicho factor no puede, ni debe exonerar a los proveedores a dotar al sistema de medidas idóneas, ya que después de todo, son ellos quienes diseñan y dotan de las condiciones al mercado; es decir, son los que se encuentran en una mejor posición para disminuir los defectos de seguridad.

Visto el contexto en que se desarrollan las operaciones con tarjetas de crédito, se procederá a analizar la principal problemática en materia de seguridad en el uso de este medio de pago. A dichos efectos, se estudiarán los casos emblemáticos, los llamados “consumos fraudulentos”, y “clonación”. III.- PROBLEMÁTICA ACTUAL EN EL USO DE TARJETAS DE CRÉDITO. En virtud a una investigación llevada a cabo por la Comisión de Protección al Consumidor del INDECOPI en el año 2006, se pudo determinar que en el año 2005 y 2006, el rubro con mayor cantidad de denuncias era el de tarjetas de crédito. Así, se determinó que en el año 2005 de un universo de 365 denuncias al sector financiero, el 43% estaba referido a defectos en la seguridad de tarjetas de crédito; específicamente, el cargo de operaciones no reconocidas por los consumidores, y que tenían


246 - RPDE

como presunta causa el uso no autorizado de la tarjeta de crédito por terceros o la clonación del medio de pago. Dicha cifra se vio incrementada en el año 2006, ya que para entonces, dicho margen subió al 60% de denuncias, de un universo de 488 reclamos al sector financiero. Corresponde entonces verificar las características de ambos supuestos de infracción a la Ley de Protección al Consumidor. 3.1.- Sobre los casos de Consumos Fraudulentos. Cuando el titular de una tarjeta de crédito recibe el medio de pago, una de las responsabilidades a su cargo es la de consignar su firma en el revés del plástico, de modo tal que cuando acude a un establecimiento comercial afiliado y solicita la prestación de un producto o servicio, el representante del proveedor procede a verificar la identidad del tarjetahabiente; y si la tarjeta se encuentra vigente y la operación se encuentra dentro del límite de línea de crédito autorizada por la empresa emisora, se concretará la operación, cargándose a la cuenta del titular. En lo casos de consumos fraudulentos existe una sustitución indebida del titular de la tarjeta de crédito y se produce una operación por parte de un tercero que usurpa la identidad del consumidor. Al respecto, el criterio del INDECOPI ha variado en los últimos años; en un principio, únicamente se comprendía como partes de la denuncia al consumidor que había sufrido el cargo de operaciones no reconocidas y a la entidad financiera emisora de la tarjeta de crédito. El análisis en ese sentido, era muy simple y no comprendía a la complejidad del sistema, puesto que lo único que se verificaba era si las operaciones objeto de denuncia se habían producido antes o después del bloqueo de la tarjeta de crédito; con lo cual –de conformidad con el Reglamento de Tarjetas de Crédito y las cláusulas contractuales suscritas entre las partes- la entidad financiera solamente era responsable cuando se hubieran ejecutado las operaciones luego del bloqueo de la tarjeta (margen mínimo de casos). La mayoría de casos eran declarados infundados, y no se corregía la falla del mercado; por el contrario, las denuncias aumentaron.


RPDE - 247

Como respuesta al problema, en la Resolución Nº 344-2006/TDC-INDECOPI, la Sala de Defensa de la Competencia del INDECOPI confirmó la decisión de la Comisión de Protección al Consumidor de incluir en el procedimiento al establecimiento comercial en que se había llevado a cabo la transacción, bajo el criterio de la naturaleza trilateral del contrato de emisión de tarjeta de crédito y en virtud a lo estipulado en el Reglamento de Tarjetas de Crédito sobre la obligación de los comercios de verificar la identidad del portador de la tarjeta. Dicho criterio es seguido hasta el día de hoy para analizar los casos planteados ante dicho organismo regulador. No obstante han surgido diversos cuestionamientos, de los que resulta relevante estudiar su razonabilidad. Por un lado, los establecimientos comerciales han alegado que ellos no son peritos que pueden establecer de manera fehaciente si la firma consignada en el voucher es realmente la perteneciente al titular de la tarjeta de crédito; asimismo, han alegado que por lo general al solicitar el documento de identidad para verificar la firma, éste es falsificado, lo cual escapa a su responsabilidad por tratarse de haberse producido un ilícito penal por falsificación de documentos. Sobre este punto, debe convenirse en que han sido menos los supuestos en que los consumidores denuncian la existencia de consumos fraudulentos y aún tienen en su posesión el medio de pago; por lo general estos han sido víctimas de la sustracción o robo de las mismas, por lo que la verificación del cumplimiento de comparación de firmas se hace en base a dos documentos: la firma existente en el comprobante de pago o voucher y el obrante en el documento de identidad del titular de la tarjeta; si las firmas son manifiestamente diferentes, se asume que el establecimiento comercial no cumplió con verificar las firmas que se consignaron en el documento de pago, ya que se asume que ésta debe ser semejante a la que está en el documento de identidad6; con lo cual

6 En la Resolución 2220-2006/CPC-INDECOPI, la Comisión de Protección al Consumidor emitió el siguiente precedente de observancia obligatoria:

1. De conformidad con lo establecido en el Reglamento de Tarjetas de Crédito, es obligación de los establecimientos verificar la identidad del usuario y comprobar que la firma en la orden de pago corresponda a la que


248 - RPDE

se deja de lado el análisis de la posible falsificación del documento de identidad por ser una cuestión ajena a las competencias del ente administrativo, y porque los establecimientos no cuentan con ninguna prueba que refuerce su posición argumentativa. Ciertamente, la solución planteada ha implicado una baja de los casos de denuncias de consumos fraudulentos en lo que va del 2007 y 2008; sin embargo, también es cierto que el argumento esgrimido por los establecimientos comerciales no resulta ajeno a la realidad. En nuestro país la falsificación de documentos es un tema real; por lo que no debe descartarse que muchos de los casos de consumos fraudulentos se produzcan con la ayuda de documentos fraguados. Resulta entonces necesario preguntarse qué medidas han tomado las entidades financieras para paliar estos supuestos o dotar de mayor seguridad al documento de pago para evitar la sustitución indebida por parte de terceros. 3.2.- Clonación. Las tarjetas de crédito son elementos que se basan en complejos sistemas informáticos y de encriptamiento de información. Toda la

figura en su tarjeta de crédito, o contar con la conformidad de la firma electrónica u otro medio sustitutorio de la firma gráfica o manuscrita;

2. En el caso específico de los establecimientos comerciales que aceptan tarjetas de crédito como medios de pago, su ámbito de responsabilidad se encuentra claramente determinado por la obligación de verificar la identidad de los portadores de la tarjeta de crédito solicitando la presentación de su D.N.I., para garantizar que éstas no sean empleadas por quienes no son titulares de las mismas, garantizando, de este modo, la seguridad de las transacciones comerciales, y por lo tanto, la confianza en el sistema de mercado en general;

3. Se presume que la firma consignada en el D.N.I. corresponde a la que normalmente usa el consumidor y que a su vez es consignada en la tarjeta de crédito. Por lo tanto, en los casos de presuntos consumos fraudulentos, en los que la Comisión al momento de su evaluación no cuente con la tarjeta de crédito, se determinará si el establecimiento verificó la firma del titular de la tarjeta de crédito de una simple comparación de la firma contenida en el D.N.I y la utilizada en la orden de pago.


RPDE - 249

información del tarjetahabiente y del plástico –excepto la clave, a decir de los expertos en seguridad bancaria- se encuentra consignada en la banda magnética del medio de pago. En el proceso de “clonación”, se realiza una copia de dicha banda magnética en otro plástico para su posterior uso no autorizado. La clonación, por ende, es la replicación no autorizada de los datos confidenciales de la tarjeta de crédito para su uso por parte de terceros. Es una vulneración directa a reglas de seguridad de las entidades financieras y una afectación clara al deber de idoneidad de los emisores de tarjetas de crédito. En la práctica, sin embargo, los reclamos que por esta causal se ha presentado ante el INDECOPI han tenido un destino errático; ello primordialmente por la dificultad probatoria que implica acreditar que las operaciones no reconocidas por el consumidor fueron ejecutadas con una tarjeta clonada. En un primer momento, se solicitaba –en concordancia con el criterio de carga probatoria establecida en el artículo 8° de la Ley de Protección al Consumidor- que el denunciante demostrara que la tarjeta de crédito había sido objeto de clonación; sin embargo ¿cómo el consumidor podría probar que su tarjeta fue clonada si ni siquiera tiene en su poder al medio de pago fraguado? La única forma en que el consumidor podía demostrar que tenía razón respecto de su pretensión era cuando podía dejar en evidencia que se habían producido operaciones simultáneas, o sucedáneas pero en ámbitos geográficos tan distantes que resultaba materialmente imposible que hubieran sido ejecutadas por la misma tarjeta de crédito. A raíz de la dificultad probatoria en la parte denunciante para la acreditación del defecto, la Sala de Defensa de la Competencia estableció como criterio la necesidad de que la Comisión de Protección al Consumidor en cumplimiento del principio de verdad material aplicara la investigación que fuera requerida para que pudiera determinarse si la tarjeta de crédito en cuestión fue clonada o no. Así, en la Resolución 1469-20087TDC-INDECOPI, el Tribunal manifestó:


250 - RPDE

“El principio de verdad material está referido a que la autoridad administrativa deberá verificar plenamente los hechos que sirven de motivo a sus decisiones. Para ello deberá realizar una investigación de los hechos que dieron lugar a la reclamación, teniendo la facultad de apoyarse en todos los medios legales que le permitan llegar a esa verdad material7. Esta obligación no es ajena al ejercicio de la potestad sancionadora siendo que el artículo 235 numeral 4 de la referida norma prescribe que la autoridad que instruye el procedimiento debe realizar de oficio todas las actuaciones necesarias para el examen de los hechos para determinar, en su caso, la existencia de responsabilidad susceptible de sanción8. (…) La Comisión solicitó al Banco que presente sus descargos sobre la supuesta clonación de la tarjeta de crédito de la denunciante. En atención a dicha solicitud, el Banco precisó cuáles eran los medios técnicos que utilizaba para identificar el fraude de tarjetas de crédito y en qué casos alertaba a sus clientes que se vienen efectuando transacciones o consumos frecuentes e inusuales con su tarjeta de crédito, señalando que en el caso materia de la presente denuncia no se presentaron los indicios suficientes de fraude y/o clonación y por ello no se alertó a la señora Mendoza sobre dichos consumos. Sin embargo, omitió

7 Las actuaciones administrativas deben estar dirigidas a la identificación y esclarecimiento de los hechos reales producidos y a constatar la realidad, independientemente de cómo hayan sido alegadas, y, en su caso, probadas por los administrados. MORÓN URBINA, Juan Carlos. Ibídem. 8 LEY 27444, Artículo 235.- Procedimiento sancionador. Las entidades en el ejercicio de su potestad sancionadora se ceñirán a las siguientes disposiciones: (…)

4. Vencido dicho plazo y con el respectivo descargo o sin él, la autoridad que instruye el procedimiento realizará de oficio todas las actuaciones necesarias para el examen de los hechos, recabando los datos e informaciones que sean relevantes para determinar, en su caso, la existencia de responsabilidad susceptible de sanción.


RPDE - 251

pronunciarse y aportar medios probatorios referidos a los mecanismos de seguridad para evitar la clonación.”

En el próximo punto se analizará qué consecuencias tiene el presente enfoque y cuáles son las alternativas para un adecuado manejo de la seguridad en materia de tarjetas de crédito. IV.- ALTERNATIVAS ANTE LA PROBLEMÁTICA ENCONTRADA. Habiéndose ya estudiado el contexto en que se desarrolla la problemática del sistema de seguridad de tarjetas de crédito, corresponde esbozar algunas alternativas y precisiones para coadyuvar a su reforzamiento y/o para el mejor análisis de los reclamos por parte de los consumidores. 4.1.- En relación a consumos fraudulentos. Como ya se ha detallado, el principal problema suscitado en las medidas de seguridad para consumos realizados con tarjeta de crédito sin la autorización del titular es el problema suscitado de la falsificación de documentos. A dicho efecto, se ha planteado la adhesión al plástico de la fotografía del titular de la tarjeta, hecho que permitiría una mejor identificación del tarjetahabiente, ante ello las entidades financieras han alegado que dicha medida ya ha sido utilizada sin éxito en algunos países. La justificación sería que, para aquel que falsifica un documento de identidad, resulta sencillo colocar una fotografía distinta a la del titular de la tarjeta de crédito. El problema no obstante radica, en que –independientemente de la efectividad o no de la fotografía en la tarjeta de crédito- las entidades financieras no se encuentran lo suficientemente “motivadas” para incluir fórmulas que subsanen o por lo menos restrinjan el uso indebido del documento de pago, y ello se debe al hecho de que, al no ser responsables de la identificación del portador de la tarjeta de crédito, no asumen los costos que las operaciones defectuosas generan en el mercado; éstas sólo son asumidas por el consumidor, o por el establecimiento comercial; la participación de la entidad financiera se limita a su responsabilidad


252 - RPDE

por las operaciones realizadas con posterioridad al bloqueo de la tarjeta de crédito. Desde nuestra perspectiva, resultaría interesante analizar la posibilidad de incluir responsabilidades (bajo ciertas condiciones) de las entidades financieras; ello en atención a que éstas también deben procurar la idoneidad de los establecimientos comerciales a quienes afilia, y respecto de los cuales el consumidor final recibirá la prestación de procesamiento de operaciones. Existe pues una responsabilidad in eligendo que puede resultar una salida para la toma de nuevas medidas que disminuyan los casos de consumos fraudulentos en el mercado. Las medidas propuestas podrían ser incorporadas legalmente, al igual que estándares mínimos de seguridad en la emisión de tarjeta y clave, activación y demás etapas de funcionamiento del medio de pago; ello con el objetivo de tener un marco de análisis que permita al regulador tener una referencia más concreta al verificar o no la existencia de infracciones en contra de los derechos del consumidor. 4.2.- En relación a los casos de clonación. Con motivo del inicio de un procedimiento de oficio contra las entidades financieras emisoras de tarjetas de crédito en el cual la Comisión de Protección al Consumidor analizó la incorporación de nueva tecnología que impidiera o disminuyera los casos de clonación, un grupo de denunciados informó el inicio de un plan piloto para la incorporación paulatina del denominado “chip” a la tarjeta de crédito. En chip reduciría las posibilidades de clonación de la tarjeta de crédito, al tratarse de un mecanismo que permite una variación constante de la información encriptada existente en el plástico. Sin embargo, y a pesar que esta medida reduciría significativamente los casos de clonación, especialistas en seguridad coinciden en que no existe una medida que sea definitiva, ya que así como se van mejorando los estándares de seguridad tecnológica, también lo


RPDE - 253

hacen las bandas delictivas en su afán de obtener acceso a las cuentas de los titulares. En esa línea y atendiendo a que es el proveedor quien se encuentra en una situación privilegiada respecto del conocimiento de su sistema de seguridad y los mecanismos que procuran su funcionamiento, debería plantearse la posibilidad de la carga probatoria en los casos de clonación que se ventilan ante la Administración, sea modificada. Así, podría presentarse la posibilidad de que sea la entidad financiera quien tenga la carga de demostrar que no se ha producido la clonación del medio de pago; y no que sea el consumidor quien tenga que demostrar lo contrario. Ciertamente, lo primero que salta a la vista es la cuestión del respeto a la presunción de inocencia; empero, debe considerarse que dicha fórmula no es ajena al sistema de protección al consumidor. En los supuestos de incumplimiento del deber de información, el consumidor debe demostrar que hizo un requerimiento de información; demostrada dicha tesis, corresponderá al proveedor acreditar que sí cumplió con entregar la información solicitada, caso contrario se concluirá la responsabilidad del denunciado. Un análisis análogo podría emplearse con cierto éxito para el esclarecimiento de las condiciones existentes y del sistema en sí que utiliza el proveedor. V.- CONCLUSIONES. 1. En los últimos años se ha producido un auge en el poder

adquisitivo y de consumo interno en nuestro país; lo que ha implicado el aumento sostenido de las tarjetas de crédito. Dichos factores han conllevado el aumento de quejas y reclamos y ha demandado la incorporación de nuevas medidas legislativas.

2. La promulgación del nuevo Reglamento de Tarjetas de Crédito

pareciera intentar cubrir los vacíos legales de su antecesora; sin embargo, no llega a establecer un estándar mínimo de seguridad; lo que implica la dificultad de los reguladores en la fiscalización del sistema. Aunado a ello, las diferencias de los objetivos


254 - RPDE

institucionales de la SBS y del INDECOPI ha dejado un vacío técnico – jurídico para la verificación en concreto de la existencia de responsabilidad administrativa en los supuestos de afectación a los derechos del consumidor.

3. Uno de lo principales problemas suscitados en los casos de

consumos fraudulentos es la dificultad de la imputación de responsabilidad, los alcances de la misma y los problemas suscitados por la falsificación de documentos de identidad. El considerar la responsabilidad compartida por parte de las entidades financieras, bajo ciertas condiciones, podría favorecer la incorporación de nuevas medidas de seguridad en el mercado que sean más eficientes que las actuales.

4. Finalmente, en los casos de clonación, resulta relevante la

incorporación del “chip inteligente”; sin embargo, debería también considerarse adicionalmente la posibilidad de establecer un cambio en la carga probatoria de manera tal que, la entidad financiera, al estar en mejor posición para ello, demuestre que la tarjeta de crédito no ha sido objeto de clonación.

MEDIDAS DE SEGURIDAD EN EL SISTEMA DE TARJETAS DE … · interno y que –a su vez- se ha ... estos...

Documents

Transcript of MEDIDAS DE SEGURIDAD EN EL SISTEMA DE TARJETAS DE … · interno y que –a su vez- se ha ... estos...