Juan Pablo Prieto, socio de SIV abogados y asesor de Sinacofi, se refirió a la Ley 21.234. Destacó los puntos más relevantes, los resguardos que debiesen tener las instituciones financieras, entre lo que destacó el refuerzo a las medidas para prevención de ciberataques, al igual que los usuarios tendrán que ser más cuidadosos con el manejo básico de su propia información.
¿Cuál es el objetivo de la ley?
La Ley 21.234 nace como una modificación a la antigua Ley 20.009, vigente en Chile desde el año 2005 y que establecía un régimen de limitación de responsabilidad de los usuarios de tarjetas de crédito por operaciones realizadas con tarjetas extraviadas, hurtadas o robadas. En ese sentido, la nueva ley pretende adaptarse a la realidad del comercio y operaciones o transferencias electrónicas, adecuando sus disposiciones frente a la aparición de nuevas modalidades de fraude (concepto no incorporado en la ley 20.009) en los que no es necesario contar físicamente con la respectiva tarjeta, cuestión que había dejado un poco a la deriva a los titulares frente a casos de fraude sin robo, hurto ni extravío -en sentido estricto- del “plástico” y que, por lo tanto, quedaban fuera del ámbito de aplicación de la ley. Adicionalmente, se amplía la protección incluyendo no sólo a los titulares o usuarios de tarjetas de créditos, sino también a los de las “tarjetas de pago” -según la definición de la ley- que incluye a los usuarios de tarjetas de débito, tarjetas de pago con provisión de fondos y cualquier otro sistema similar. Finalmente, la nueva ley amplía la limitación de responsabilidad del usuario a operaciones realizadas incluso con anterioridad a la fecha del aviso que él mismo debe dar al emisor del medio de pago acerca del robo, hurto, extravío o fraude .
¿Cuáles son los puntos más relevantes de la ley?
- En términos bien concretos, las principales novedades de la ley son:
- Amplía el universo de operaciones respecto de las cuales el titular puede limitar su responsabilidad al incorporar, además de las operaciones con tarjetas crédito, a las realizadas con otras “tarjetas de pago” (tarjetas de débito y prepago, entre otras) así como a cualquier otro sistema similar.
- Incorpora dentro de las operaciones respecto de las cuales el titular puede limitar su responsabilidad los fraudes en transacciones electrónicas, entendiendo por tales a aquellas que generen cargos y abonos o giros en cuentas bancarias, tarjetas de pago u otros sistemas similares y las efectuadas mediante portales web y otras plataformas electrónicas.
- Amplía la limitación de responsabilidad a operaciones realizadas hasta 120 días corridos anteriores al aviso que el titular debe entregar al emisor.
- Cuando la operación reclamada sea de un monto igual o inferior a 35 UF, el emisor de la tarjeta o medio de pago está obligado a proceder a la cancelación de los cargos o la restitución de los fondos correspondientes dentro del plazo de cinco días hábiles contados desde la fecha del reclamo. Para las operaciones de montos superiores, pero sólo en la parte que exceda de las 35 UF, el emisor tendrá un plazo adicional de 7 días hábiles para decidir si procede a la cancelación o restitución, o ejerce las acciones judiciales correspondientes, en caso que haya recabado antecedentes que acrediten la existencia de dolo o culpa grave del usuario
- Obliga a los emisores a adoptar las medidas de seguridad necesarias para prevenir la comisión de ilícitos y asegurar el deber de seguridad que la ley del consumidor consagra a favor de sus clientes.
- Tipifica como delito de uso fraudulento de tarjetas de pago y transacciones electrónicas una serie de conductas relacionadas con la falsificación de tarjetas y con los datos, claves y credenciales de seguridad de las mismas y con la identidad del usuario.
En función de la ley, ¿Qué resguardos debiesen tener las instituciones financieras?
Sin duda que las instituciones deberán redoblar sus esfuerzos por adoptar medidas eficaces de prevención de ciberataques y elevar aún más los estándares de protección a favor de sus clientes. Eventualmente uno podría pensar en el establecimiento de mecanismos adicionales a los ya existentes, tales como sistemas de doble autenticación y/o doble validación de determinadas operaciones, o en la renovación periódica de claves y contraseñas por parte de los usuarios, etc. Sin embargo, si consideramos que la obligación que la ley 21.234 impone a los bancos es de carácter genérico, pues los obliga a “adoptar las medidas de seguridad necesarias”, no es fácil ni razonable pretender elaborar en catálogo de medidas específicas, pues el concepto es dinámico y obligará a los emisores a revisar periódica y permanentemente no sólo sus propias vulnerabilidades y medidas de seguridad, sino especialmente las nuevas modalidades de ataque que, como sabemos, suelen ir muy por delante gracias a la “creatividad” de los ciberdelincuentes.
¿Cuáles serían los resguardos que deben tener los tarjetahabientes?
Si bien la ley pareciera no establecer grandes exigencias ni obligaciones para los usuarios, uno nunca debe olvidar que el cuidado y la protección siempre empiezan por casa. En este sentido, los usuarios debemos ser especialmente cuidadosos con cuestiones tan elementales como el cuidado básico de nuestra propia información y, por ejemplo, no utilizar información evidente en la creación de nuestras claves y contraseñas, no tener un listado de claves en un lugar poco seguro o fácilmente accesible, renovarlas y/o modificarlas frecuentemente, no entregar la tarjeta a terceros y mantenerla en nuestro poder durante todo el proceso de pago y, por último, tratar de estar permanente informado y actualizado acerca de los movimientos u operaciones cursadas con nuestros medios de pago.
¿Cuáles son los derechos de los usuarios con la nueva normativa?
Como decíamos recién, probablemente la principal innovación de esta ley es que consagra el derecho de los titulares a la cancelación de la operación reclamada y/o a la restitución de los fondos en un plazo no superior a cinco días hábiles, contados desde desde la fecha del reclamo, en todos aquellos casos que el monto de la operación sea igual o inferior a 35 UF. En los demás casos, el reembolso deberá producirse en plazo máximo de 12 días hábiles, salvo que el emisor recopilare antecedentes que acrediten la existencia de dolo o culpa grave del usuario, en cuyo caso deberá entablar las acciones judiciales correspondientes.
¿En qué casos los bancos tendrán derecho de no pago?
Si se acredita, por sentencia firme o ejecutoriada, que el usuario ha participado en la comisión del delito, que obtuvo un provecho ilícito o que actuó con dolo o culpa grave facilitando su comisión, se procederá dejar sin efecto la cancelación de los cargos o la restitución de fondos. Sin embargo, como se podrá advertir, el principal problema que representa esto es que la ley exige la existencia de una sentencia judicial firme (es decir, luego que el juicio haya pasado por todas las etapas o instancias posibles) que declare expresamente alguna de estas tres causales.
