Fallas en la seguridad de cajeros automáticos: aspectos legales
La Ilusión de la Fortaleza Digital
Contemplamos el cajero automático como un bastión de seguridad. Un bloque de metal y plástico conectado a una red global que, con una simple tarjeta y una clave de cuatro dígitos, nos entrega nuestro dinero. La confianza en este sistema es la piedra angular de la banca moderna. Sin embargo, en un giro argumental que solo sorprendería a los más optimistas, esta fortaleza es a menudo tan robusta como un castillo de naipes en medio de una corriente de aire. La sofisticación del aparato esconde una verdad elemental: es una máquina. Y las máquinas, por diseño, pueden fallar y ser manipuladas.
Las vulnerabilidades son tan variadas como ingeniosas. El ‘skimming’, por ejemplo, consiste en colocar un dispositivo falso sobre la ranura de la tarjeta para copiar la banda magnética, mientras una microcámara oculta graba la introducción del PIN. Es el equivalente a que un carterista te pida amablemente la billetera y la clave de la alarma de tu casa. Luego tenemos el ‘shimming’, una versión más refinada que utiliza un dispositivo ultrafino insertado dentro del propio lector de tarjetas con chip, demostrando que la innovación no es exclusiva de los buenos. Y no podemos olvidar el malware, como el famoso ‘Ploutus’, que infecta el software del cajero y permite a un tercero, con un simple código enviado por SMS, ordenarle a la máquina que dispense todo el efectivo disponible. Una especie de ‘abracadabra’ digital para billetes.
Desde una perspectiva legal, la existencia de estas técnicas no es una anécdota de color. Es la prueba material de una realidad que el sistema financiero a veces prefiere ignorar: la seguridad absoluta es una utopía. La Ley de Defensa del Consumidor (N° 24.240) es meridianamente clara en su artículo 5, que impone al proveedor un deber de seguridad. Esto significa que las cosas y servicios deben ser prestados en condiciones previsibles y normales de uso, sin presentar peligro para el consumidor. Cuando un cajero es vulnerado, esa condición, evidentemente, no se cumple. El banco no solo vende un servicio de extracción de fondos; vende, o debería vender, la garantía de que ese proceso es seguro. La falla de esa garantía activa un mecanismo de responsabilidad que exploraremos a continuación.
El Baile de las Responsabilidades: Quién Paga la Fiesta
Cuando un cliente descubre una extracción de su cuenta que no realizó, comienza una coreografía tristemente familiar. El cliente, en estado de shock, acusa. El banco, con la calma de quien ha visto mil veces la misma obra, se defiende. En el centro de esta disputa se encuentra un concepto legal clave: la responsabilidad objetiva. Traducido del críptico lenguaje de los abogados, esto significa que para que el banco sea responsable, al consumidor le basta con probar el daño (el dinero que falta) y la relación de causalidad (que ocurrió usando el servicio del banco, como el cajero). No necesita probar que el banco fue negligente. La pelota, o más bien la carga de la prueba, pasa al tejado del banco.
Es el banco quien debe demostrar que la culpa fue del cliente. Y aquí es donde la fina ironía del sistema se hace presente. La entidad debe probar la ruptura del nexo causal, generalmente alegando la culpa de la víctima. Su argumento predilecto es la supuesta negligencia del usuario con su clave PIN. Sostendrán que la compartió, que la anotó en un papelito junto a la tarjeta, o que básicamente la gritó a los cuatro vientos en la cola del supermercado. El problema para el banco es que probar esto es extremadamente difícil. Deben demostrar que su sistema de seguridad, ese que diseñaron, instalaron y monitorean, era perfecto e inviolable, y que la única forma de que el fraude ocurriera fue por una acción deliberada o increíblemente descuidada del cliente. Una afirmación audaz.
Para el cliente afectado (el acusador), el camino a seguir es metódico y, sobre todo, documental. Lo primero es actuar rápido. Realizar la denuncia ante el banco de forma inmediata, exigiendo un número de reclamo o constancia. Acto seguido, realizar la denuncia policial. Aunque la policía no resolverá el reintegro, el documento es una prueba fundamental de la fecha y hora en que se tomó conocimiento del hecho. Es crucial revisar los resúmenes de cuenta y guardar todo tipo de comunicación con la entidad. En la etapa de conciliación prejudicial (como el COPREC, instancia obligatoria), el consumidor llegará con un arsenal de pruebas que demuestran su diligencia, mientras que el banco deberá explicar cómo su sistema infalible fue vulnerado sin dejar rastro de una falla propia.
Manual de Supervivencia para el Acusado (Spoiler: Es el Banco)
Ahora, pongámonos por un momento en los zapatos del abogado de la entidad financiera. La misión no es sencilla, pero la estrategia está estandarizada. El primer movimiento es negar, el segundo es culpar al cliente y el tercero es dilatar. Se presentarán auditorías internas y registros del sistema (logs) como evidencia irrefutable de que, en el momento del hecho, el cajero funcionaba ‘según los parámetros esperados’. Curiosamente, estos informes internos rara vez encuentran fallas en los sistemas propios. Son documentos que, en esencia, dicen: ‘Revisamos nuestras propias tareas y concluimos que las hicimos perfectamente’.
El equipo legal del banco se aferrará a cualquier indicio de descuido por parte del usuario. ¿Usó el cajero de noche en una zona poco iluminada? Negligencia. ¿Alguien lo estaba observando? Debería haberse dado cuenta. ¿No cubrió el teclado con la mano como si estuviera desactivando una bomba? Falta de cuidado. Se trata de construir una narrativa en la que el cliente es un agente activo, y no una víctima pasiva, del fraude. La efectividad de esta estrategia es decreciente, ya que los tribunales son cada vez más conscientes de la asimetría de poder y conocimiento entre un ciudadano común y una institución financiera. Sin embargo, forma parte de un desgaste calculado, esperando que el cliente abandone el reclamo ante la muralla de burocracia y tecnicismos. Es una táctica de resistencia, no necesariamente de justicia.
Verdades Incómodas y el Espejismo Tecnológico
Llegamos al núcleo de la cuestión, a esas revelaciones que son, en realidad, verdades de Perogrullo. La primera es que la tecnología financiera se vende como una solución mágica, pero opera sobre una infraestructura falible creada por humanos. La segunda es que la ley, con un pragmatismo admirable, reconoce esta falibilidad. El conflicto nace cuando el marketing choca con la jurisprudencia. Nos piden que confiemos ciegamente en un sistema cuyo funcionamiento interno desconocemos, pero cuando este falla, se nos exige una comprensión técnica para defendernos.
La verdad más incómoda para el sector financiero es el concepto de ‘riesgo de la actividad’ o ‘riesgo empresario’. Operar un banco y una red de cajeros es un negocio inmensamente lucrativo. Ese lucro conlleva riesgos inherentes, y el fraude es uno de ellos. No es una sorpresa, no es un cisne negro; es una variable calculada en el modelo de negocio. Cuando un cliente es víctima de una estafa a través de un cajero, la pérdida no debería ser vista como un infortunio del cliente, sino como un costo operativo del banco. El reintegro del dinero no es un acto de generosidad, sino el cumplimiento de una obligación contractual y legal, la asunción de un riesgo por el cual ya obtienen una ganancia. Es, simplemente, parte del laburo.
Por lo tanto, la próxima vez que se enfrente a un problema de este tipo, recuerde que usted no está pidiendo un favor. Está exigiendo el cumplimiento de un contrato de consumo donde una de las partes, la más poderosa, falló en su deber más básico: cuidar su dinero. El sistema legal le da la razón, pero exige disciplina y perseverancia. La verdadera seguridad no reside en la complejidad del software del cajero ni en la cantidad de cámaras que lo vigilan. Reside en conocer sus derechos y estar dispuesto a ejercerlos. Porque en este ecosistema, la confianza se deposita, pero el escepticismo se guarda en la caja de seguridad personal. Es la única inversión que siempre paga dividendos.
