Sala Primera de la Corte

Resolución Nº 01892 - 2023

Fecha de la Resolución: 02 de Noviembre del 2023 a las 13:50

Expediente: 20-002416-1027-CA
Redactado por: Damaris Vargas Vásquez
Analizado por: SALA PRIMERA

Texto de la Resolución

Exp. 20-002416-1027-CA
Res. 001892-F-S1-2023
SALA PRIMERA DE LA CORTE SUPREMA DE JUSTICIA. San José, a las trece horas cincuenta minutos del dos de
noviembre de dos mil veintitres .
Proceso de conocimiento establecido por la Asociación Pro-Defensa de Consumidores Financieros y Afines, cédula jurídica
3-002-734590, en representación de la señora XINIA BLANCO MONTERO contra el BANCO NACIONAL DE COSTA RICA (en
adelante BNCR), representado por su Apoderado General Judicial, el licenciado Andr és José Bogarín Bustamante, en el cual la
actora presenta recurso de casación contra de la sentencia no. 118-2022-IV de las 08:25 horas del 29 de noviembre de 2022, del
Tribunal Contencioso Administrativo Sección IV, dictada por las personas juzgadoras Judith Reyes Castillo, Felipe Alberto Córdoba
Ramírez y Jose Iván Salas Leitón. Figura como apoderada especial judicial de la actora, la licenciada Adriana Rojas Rivero.
Redacta la magistrada Vargas Vásquez
CONSIDERANDO
I. El presente proceso se origina con motivo de un reclamo de la actora relacionado con transacciones efectuadas en
sus cuentas bancarias del BNCR. En lo medular la actora señaló, tenía tres cuentas bancarias con dicha institución. Afirmó, es
adulta mayor que recibe dinero única y exclusivamente de la pensión. Indicó, en contratos de dos de las cuentas firmados el 16 de
agosto de 2016 y el 20 de marzo de 2018 autorizó al BNCR para que le enviaran mensajes al celular y a su correo electrónico.
Reclamó, esa gestión nunca la realizó la entidad. Manifestó el 14 de noviembre de 2019, fue víctima de fraude cibernético por
medio de la ingeniería social. Endilgó, recibió una llamada telefónica que se hizo pasar como funcionario del banco que sabía su
nombre completo, número de cédula, fecha de nacimiento, dirección de su casa de habitación y los números de las tres cuentas
bancarias. Adujo, creyó que se trataba de un funcionario del banco porque sabía el número de sus cuentas, por lo que la
convenció. Agregó, porque eso es información que ella no le había dado a nadie, excepto a la operadora de pensiones para el
depósito de su jubilación. Refirió, los únicos pagos que había realizado por medio de la plataforma internet banking eran los recibos
de agua, electricidad, celular y pagos municipales. Indicó, nunca realizó transferencias electrónicas a personas físicas por medio de
esa plataforma, motivo por el cual en el momento del fraude hubo un cambio de comportamiento en el uso de ese servicio. Citó,
ocho transacciones que detalló como fraudulentas el 14 de noviembre de 2019, para un total de ₡4.030.000,00 y $1.999,00. Adujo,
en el sistema de banca en línea nunca había realizado transferencias de dinero a personas físicas ni ocho movimientos bancarios
en un mismo día, en menos de dos horas, siendo evidente un comportamiento inusual. Arguyó, presentó una denuncia ante el
Organismo de Investigación Judicial (OIJ) y reclamo ante el BNCR. Censuró, el BNCR no comunicó a los diferentes bancos de las
cuentas receptoras de las transferencias que se realizaron de forma ilegítima a sus clientes, a nombre de destinatarios que sólo el
banco conocía, ni solicitó el bloqueo de las cuentas de los destinatarios. Planteó, para usar el servicio de banca en línea el BNCR le
dio un usuario, contraseña y un token virtual. Reprochó, quedó totalmente impactada, confundida, defraudada del sistema, con un
sentimiento de inseguridad que la perturba y le quitó la paz emocional. Aseveró, las herramientas del BNCR se encuentran
totalmente obsoletas, fueron implementadas hace una década y los hackers lo burlan con mucha facilidad. Explicó, no es la única
víctima de ingeniería social del BNCR, a pesar de ello no introduce herramientas de seguridad modernas y eficientes que realmente
impidan que el consumidor pierda el dinero de sus cuentas por medio de esa modalidad. Adicionó, por tal motivo el ataque era
predecible por parte del banco. Alegó, es un hecho público por haber muchas noticias en medios de comunicación colectiva, que el
BNCR tiene víctimas de fraude cibernético desde el año 2007. Insistió, el ataque sufrido por medio de la ingeniería social era
evitable por parte del banco demandado. Señaló, existen herramientas de seguridad modernas y eficientes que encriptan la
información sensible, lo que impide que el consumidor la pueda leer y manifestar a terceras personas. Expuso, desconoce si el
banco ofrece un seguro a los consumidores por fraude electrónico, dado que nunca le han dado información al respecto. Mencionó,
el BNCR no le ha resuelto el reclamo y tuvo que acudir ante la SUGEF por ello. Finalizó, no existe protección especial, ni cursos
especiales de capacitación por parte del banco a favor de los adultos mayores. La accionante interpuso la demanda el 13 de mayo
de 2020, cuyas pretensiones fueron las siguientes: " "1) Que se condene al Banco Nacional de Costa Rica, al pago de la
indemnización por daño material por responsabilidad objetiva en consumo bancario, a nombre de Xinia Blanco Montero, por la
suma de 4.030.000 colones y $1.999,00 moneda de Estados Unidos de América, junto con los intereses legales desde el día del
saqueo de las cuentas bancarias hasta el día de su efectivo pago. Motivos del daño: a.- Por omisión: la no protección del interés
económico del consumidor por parte del banco demandado. b.- Por omisión: por no brindar seguridad por parte del banco a favor
del consumidor que impidiera que terceras personas desconocidas saquearan el dinero de su cuenta bancaria por medios
electrónicos o cibernéticos. c.- Por no comunicar a los bancos destinos de las transferencias electrónicas, para que bloquearan las
cuentas de los destinatarios. d.- Por no romper el nexo causal la culpa de la víctima y hecho de un tercero, porque era previsible y
evitable por parte del banco y la conducta de la consumidora no fue la única causal que generó el daño. / 2) Que se condene al
Banco Nacional de Costa Rica al pago de daño moral subjetivo a favor de Xinia Blanco Montero, por la suma de un millón de
colones, por el sufrimiento sufrido a raíz del ataque cibernético, en calidad de adulta mayor. / 3) Subsidiariamente, en caso de que
no prospere la pretensión principal, solicito se declare culpa compartida y que se condene al Banco Nacional de Costa Rica a la
indemnización del daño material por responsabilidad objetiva en materia de consumo a nombre de Xinia Blanco Montero, por la
suma de 2.015.000 colones y 900 dólares, moneda de Estados Unidos de América, junto con los intereses legales desde el día del
saqueo de las cuentas bancarias hasta el día de su efectivo pago. / Motivos del daño: Los mismos que la primera pretensión. / 4)
Que se condene en ambas costas al Banco Nacional de Costa Rica”. La demandada contestó en forma negativa la acción y opuso
la excepción de falta de derecho. El Tribunal Contencioso Administrativo y Civil de Hacienda, Sección IV, mediante sentencia no.
118-2022-IV de las 08:25 horas del 29 de noviembre 2022, dictada por las personas juzgadoras Judith Reyes Castillo, Felipe
Alberto Córdoba Ramírez y Jose Iván Salas Leitón, dispuso: “Se rechaza la prueba para mejor resolver ofrecida por la actora. Se
acoge la excepción de falta de derecho, en consecuencia, se declara sin lugar la demanda en todos sus extremos. Son las costas a
cargo de la parte actora. Inconforme con lo resuelto, la parte actora presentó recurso de casación por motivos sustantivos, el cual
fue admitido por esta Sala.
Casación por razones sustantivas
II. Aduce cinco motivos por razones sustantivas; los dos primeros, dada su íntima relación se resolverán en conjunto. Como
primer motivo, reclama preterición de la prueba documental y vulneración a la valoración de toda la prueba con las reglas de la
sana critica, de conformidad con el inciso 4) del artículo 82 del CPCA. Señala, en el hecho sexto de la demanda se indicó que la
señora Blanco Montero fue víctima de fraude cibernético por medio de ingeniería social. Refiere, dicho hecho no fue mencionado
en los hechos probados, ni tampoco en los no probados. En su parecer, fue ignorado y era la base del proceso de marras.
Argumenta, particularmente en el informe 686-F-2020-CI del OIJ que consta en el expediente electrónico, se demuestra de forma
fehaciente que fue víctima de ingeniería social. Reprende, el fallo recurrido no se refiere a ello, ni toma en cuenta la prueba
documental y pericial señalada. En relación con el segundo reproche, censura indebida valoración de la prueba y vulneración
valoración de toda la prueba con las reglas de la sana crítica al tenor del artículo 82 inciso 4 del CPCA- Acusa, la sentencia tiene
por probado y no controvertido que para que un cliente pueda accesar a sus cuentas bancarias a través del servicio de Internet
Banking del BNCR, debe suministrar información al sistema que, siendo personal, confidencial y secreta, sólo él conoce y de la que
es responsable en lo que toca a su protección frente a terceros. Subraya, el crimen organizado tuvo acceso a la información
confidencial de sus cuentas bancarias por medio de la ingeniería social. Recalca, fue demostrado por medio del informe 686-F-
2020-CI del OIJ que consta en autos y con el informe pericial. Reprende, de forma errónea el Tribunal no reconoce que hubo una
suplantación de identidad por medio de la Ingeniería Social.
III. En primer lugar, es importante señalar que el vicio de preterición de la prueba, “se da cuando la persona juzgadora omite
valorar o analizar prueba constante en el expediente, previamente admitida; siendo fundamental para el resultado del proceso,
dado que, de haberse analizado y valorado oportunamente, la motivación jurídica de la sentencia sería distinta” (Ver resoluciones
de esta Sala no. 552-2021 y no. 00319-2022). En lo medular, en ambos agravios la casacionista acusa que no se tuvo por probado
que fue víctima de la ingeniería social con base en el informe 686-F-2020-CI del OIJ, sin embargo, en ninguno de sus alegatos
precisa cómo podría ello quebrar el fallo del Tribunal. Nótese que, en el desarrollo de la sentencia impugnada, específicamente en
el considerando denominado “II- SOBRE EL FONDO” se indicó: (…) 1.- Sobre los hechos que se han tenido por probados
dentro de la presente causa: (…) Estimamos que la representación del Banco demandado no obstante ese apunte sobre un
aspecto probatorio en el marco de la carga dinámica de la prueba, cumple con el deber de probar en lo que le corresponde
(artículo 41.1 del Código Procesal Civil "onus probandi") hasta donde le resulta posible frente a la acción incoada por la empresa
actora, consumidora con quienes se encuentra vinculado en relación jurídica de la especie, y la intervención que como se verá, se
produjo por parte de terceros en el marco de un fenómeno que se ha identificado como criminal, dirigido a vulnerar la capacidad del
cliente de resguardar y mantener bajo su control la información necesaria para acceder a sus cuentas bancarias en uso de este
sistema. Esto lo indicamos pues la causa eficiente del daño que reclama quien demanda en relación de consumo con el banco, y
por resultar ello absolutamente necesario con base en la información técnica traída al proceso analizada desde el punto de vista
racional, se habría de encontrar constituida por el hecho de que de alguna manera no determinable a este punto, la señora Xinia
Blanco Montero habría cedido esa información a un tercero para que las transferencias de fondos se pudiesen dar, de forma
consciente o no, lo que conduce a afirmar que necesariamente, en algún momento que no se precisa, como tampoco el mecanismo
usado para ello, un tercero o terceros no autorizados por la señora Xinia Blanco Montero, tuvieron acceso a la información personal
y confidencial asociada a su perfil para efectos del sistema de “internet banking” del BN, que permitió acceder a la cuenta bancaria
de la señora Blanco Montero, a lo que se debe sumar, que no se probó que el sistema del BN mediante el que se brinda el servicio
de interés haya sido vulnerado por terceros con ocasión de las transacciones realizadas por éstos. Tampoco se demostró que el
sistema con que opera el servicio de “internet banking” del BN al momento de los hechos hubiera presentado alguna anormalidad
alguna o falla en términos de la seguridad que debe privar para este tipo de actividad comercial.” En ese sentido, esta Cámara
observa de lo transcrito que, si bien el fallo recurrido no denomina lo sufrido por la actora como “ingeniería social”, tal como ella
pretende, sí contempló dentro del análisis del sub judice su conceptualización, por lo cual los agravios presentados carecen de
utilidad en cuanto a lo dispuesto en la resolución siendo que, además no establecen la incidencia de ello en lo resuelto por el
Tribunal. Por lo cual, procederá su rechazo.
IV. En el tercer agravio, acusa la no valoración de la prueba pericial. Aduce, la sentencia tuvo como hecho no probado que
para noviembre del 2019 el servicio de Internet banking y el sistema con que opera dicho servicio, presentara alguna anormalidad
en términos de la seguridad que debe privar para este tipo de actividad comercial en protección de los intereses de la empresa
actora. Endilga, la sentencia no menciona ni por asomo la prueba pericial, en la cual el experto sí opinó de forma técnica que el
banco no protegió el dinero de la cuenta bancaria del cliente. Cita, una serie de manifestaciones que constan en el informe pericial,
en las cuales se indicó que el Banco sí pudo haber evitado parcialmente, o al menos alertado el daño con la pérdida de dinero en el
momento en que se produjeron los hechos. Agrega, el BNCR tiene un servicio en Internet banking en el cual se puede tener un
límite o tope al monto de transacciones. Esgrime, por lo que, desde un punto de vista estrictamente técnico, el Banco cuenta con
las herramientas para haber alertado y haber bloqueado transacciones superiores a las permitidas por el cliente previo a una
parametrización de la cuenta ante instrucciones hechas por personeros del BNCR a su cliente y tomando en cuenta la capacitación
y conocimientos de ellos sobre las estafas por Ingeniería Social.
V. Sobre este reproche el Tribunal desarrolló lo siguiente: “Se deja constancia que no resultó útil para demostrar la teoría
del caso de la parte actora, la declaración del perito, señor William Acuña Li, quien en términos generales desconocía información
relevante sobre el caso particular, emitió opiniones personales al punto de, -en apariencia conforme lo logramos entender-
proponer como solución a este fenómeno, el limitar el acceso de los servicios bancarios mediante el uso de internet a los adultos
mayores, debido por su condición, lo que estimamos, una solución inaceptable desde el punto de vista del trato igualitario -no
discriminatorio- que debe darse a todo cliente del Banco, por el hecho de serlo. Concluyó por otro lado, que el BN no puede prever
una estafa a un cliente y aunque señaló que en su opinión lo puede prevenir, no logró explicar cómo. Aquí es importante señalar
que la condición de adultos mayores de los clientes del servicio bancario no es un elemento que per se le imponga a la institución
demandada otras obligaciones y cargas distintas de las que debe cumplir con el resto de sus clientes. Tampoco existe amparo en el
Ordenamiento Jurídico para acoger la demanda únicamente con sustento en la condición de adultos mayores”.
VI. De lo expuesto, no lleva razón la casacionista en indicar que la sentencia impugnada pretirió la prueba pericial, por el
contrario, se extrae que la citó de forma expresa e indicó los motivos por los cuales consideró que no resultaba útil para la teoría
del caso de la parte actora. En ese sentido, el agravio no combate los argumentos dados por el Tribunal respecto a dicha prueba,
sino que se limita a citar extractos del informe, por lo cual resulta improcedente el reparo interpuesto.
VII. En el cuarto agravio, alega vulneración al derecho de información del consumidor, según el artículo 32 de la ley no. 7472.
Reclama, se tuviera como hecho no probado que, con ocasión de las transacciones efectuadas, el BNCR estuviese obligado a
tenerlas como “sospechosas”, bloquearlas, utilizar un sistema de alarmas, comunicarse con ella, o que, en su caso, haya
inobservado algún protocolo interno sobre seguridad. Aduce, el Tribunal desconoce por completo el derecho a la información,
tutelado en el artículo 46 constitucional y los numerales 32 y 34 de la Ley de Promoción de la Competencia del Derecho del
Consumidor, así como el Reglamento del Sistema de Pagos, aprobado por la Junta Directiva del Banco Central de Costa Rica en la
sesión 5825-2018, artículo 6, del 2 de mayo de 2018, Publicado en el Alcance 97 a la Gaceta 83 del 14 de mayo de 2018. Recalca,
en vigencia un año y medio antes de la pérdida del dinero de sus cuentas bancarias. Censura, no lleva razón el Tribunal al decir
que hay ausencia de elementos probatorios en el que el Banco esté obligado a utilizar alarmas o comunicarse con el cliente, porque
proviene de la ley. Endilga, sí se demostró que no recibió de parte del BNCR ninguna alarma financiera sobre las transferencias de
dinero de sus cuentas bancarias a cuentas de los delincuentes. Manifiesta, en la bitácora de movimientos del día de los hechos
presentada por el BNCR se logra concluir que no recibió ninguna alarma financiera, ya que se enteró de dichas transacciones
hasta que se apersonó de forma física a la entidad cuando ya no quedaba dinero en las cuentas.
VIII. En relación con el reproche, el fallo recurrido indicó: “Para terminar en lo fáctico, con vista en los resultados de la investigación
e informe rendido por parte de la Dirección de Seguridad oficio Nº DS-1101-2020, el reclamo formulado por la señora Xinia Blanco
Montero fue rechazado con ocasión de haberse concluido según el mismo, que las transacciones se habrían efectuado usando el
código de usuario de la cliente, que hubo un cambio de clave para lo cual se requiere seleccionar un tipo de identificación, digitar el
número de identificación, seleccionar el tipo de tarjeta, digitar al azar una cantidad de números de la tarjeta, digitar el código de
seguridad y el PIN de la tarjeta, siendo esa información confidencial y que resguarda el cliente. Además, se constató que el cliente
recibió al teléfono y al correo señalados la notificación en la que se le indicó que había olvidado su clave. Todo lo cual no es
esperable en técnica y experiencia, que se pueda encontrar en control del banco como parte de un funcionamiento normal del
servicio en manejo de un riesgo que es tolerable so pena de tornarlo no funcional, ni para el banco, ni para el cliente.”
IX. En síntesis, la recurrente censura que el Tribunal determinara que hay ausencia de elementos probatorios respecto de la
obligación del BNCR de utilizar alarmas o comunicarse con el cliente sobre las transferencias de dinero efectuadas por medio de
Internet banking siendo que en su parecer es una obligación de índole legal. Sin embargo, la casacionista no explica en sus
argumentos cómo esa omisión se constituiría en la causa eficiente y directa del daño sufrido, para poder variar el fallo y atribuirle la
responsabilidad a dicha entidad. Debido a que, tal como lo señaló la resolución impugnada, según la bitácora de movimientos
efectuados el día de los hechos (visible a imagen 59 del expediente electrónico) y que no fue objeto de discusión en el presente
recurso, se dieron diversas alertas por parte del sistema hacia los medios indicados por la señora Blanco Montero, y a pesar de ello
las transacciones siempre fueron efectuadas. Por el contrario, acerca del tema sustantivo del presente proceso, ya esta Sala ha
tenido oportunidad de referirse a los alcances del régimen de responsabilidad regulado en el artículo 35 de la ley no. 7472, de cara
a la alegación de daños como los aquí discutidos, relacionados a la utilización del Internet banking, sea de sistemas informáticos
por medio de los cuales las personas consumidoras acceden a plataformas virtuales de servicios bancarios para realizar las
distintas transacciones que requieran desde sus cuentas. En la sentencia de esta Cámara no. 658-2018 de las 09 horas 30 minutos
del 13 de julio de 2018, indicó, en lo que ahora interesa, lo siguiente: “El sistema estatuido en esta norma, dispone en términos
generales que los inconvenientes de una actividad lucrativa –como lo es la bancaria- sean asumidos por quien la despliega, con
algunas precisiones. Y es que, si bien se configura como una responsabilidad objetiva, al prescindir de la culpa y del dolo, la
atribución no opera de pleno derecho o en forma automática. En este orden, además de la acreditación de la conducta lesiva del
agente, el esquema no está exento del deber de demostrar la existencia de la lesión y el nexo de causalidad, y por tanto del criterio
de imputación (riesgo). En cuanto al vínculo causal, admite el mismo numeral 35, la ruptura o eliminación en los casos cuando el
agente acredite ajenidad en el daño (…) De esta manera, corre por cuenta del accionado probar que es ajeno a la producción del
daño, es decir, ha de demostrar la concurrencia de alguna de las causas eximentes de responsabilidad, ya sea la culpa de la
víctima, el hecho de un tercero o la fuerza mayor”. Entretanto, en voto no. 0604-2021, de las 10 horas 55 minutos del 16 de marzo
de 2021, después de hacer referencia al precedente anteriormente transcrito, se realizaron las siguientes precisiones: “…tal y como
lo señaló la sentencia, el demandado logró descartar que la actividad de la entidad bancaria fuera la que produjo la lesión
patrimonial acusada y que, por el contrario, por la forma en que sucedieron los hechos, necesariamente debieron realizarse por
parte de un tercero, que contaba con la información de seguridad requerida para el ingreso. Esto, porque de los testimonios
expertos, los informes, e incluso con lo señalado por el mismo actor respecto a su utilización de la plataforma BN Internet Banking,
se deriva, en primer lugar, que el Banco sí estableció una forma de ingreso segura, la cual fue desatendida por el actor y, en
segundo lugar, que el sistema de seguridad del Banco no fue vulnerado”. A partir de lo anterior, nótese, al igual que en el
antecedente comentado, se ha demostrado e incluso así lo ha hecho ver la tesis de la actora, que la persona que accedió al
sistema bancario contaba con la información de seguridad de la cliente; asimismo, se concluyó que los sistemas de seguridad del
banco no fueron vulnerados, sino que, quien se hizo de tales datos, lo realizó por medio de timos que le permitieron que la señora
Blanco Montero (actora y autorizada en dichas cuentas) suministrara la información, siendo completamente ajena esa situación al
control de la entidad financiera. Atribuir a la institución bancaria las consecuencias de un acto de esa índole, conllevaría un retorno
improcedente del análisis causal a una conducta que, por sí sola, no era adecuada para la producción del daño. En consecuencia,
no lleva razón la recurrente y el reclamo deberá ser denegado.
X. Como quinto agravio, acusa indebida aplicación del artículo 35 de la ley no. 7472 el BNCR no es ajeno al daño. Apunta,
no es el primer caso del BNCR en relación con la ingeniería social. Apunta, según el interrogatorio del perito a los funcionarios de la
institución, dijeron que la primera queja fue en el año 2008, 11 años antes de que se dieran los hechos de la presente demanda.
Argumenta, en esos años, el banco con todo su equipo humano y técnico de especialistas en ciberseguridad no ha logrado evitar la
pérdida del dinero que los consumidores depositan en las cuentas bancarias producto de la ciberdelincuencia. Expone, el OIJ indicó
que las llamadas telefónicas se realizan desde móviles prepago-comprados sin identificación porque el sistema lo permite por
medios electrónicos. Recrimina, poner un número de cédula diferente al comprador en línea es tarea muy fácil. Describe, las
llamadas telefónicas al consumidor se realizan desde La Reforma o Centros Penitenciarios, que logran engañar al consumidor una
vez analizado y estudiado su perfil para tener acceso a información confidencial en una auto puesta en peligro no consciente
porque se actúa por engaño. Explica, lo anterior es un hecho público por haberse dado a conocer en varios medios de
comunicación masiva. Asevera, también es un hecho público y notorio que el manejo de la tecnología es más complejo de entender
y más riesgosa para una adulta mayor. Sostiene, por tal motivo tienen una legislación especial de trato preferencial, toda vez que
refuerzan el derecho de protección a su patrimonio. Recrimina, la actora es una adulta mayor, usuaria de Internet banking para el
pago de servicios públicos y de impuestos, con un límite de ₡50.000,00 colones. Arguye, por medios electrónicos, en una auto
puesta en peligro inconsciente, los miembros del crimen organizado cambiaron claves, el límite diario lo pasaron de ₡50.000,00
colones a ₡7.500.000,00, introdujeron cuentas favoritas de personas con expediente criminal, les pasaron más de ₡4.000.000,00 y
realizaron una remesa de $1.999 a Nicaragua, en su parecer, de forma muy sencilla, pero poco segura y sin ninguna alarma
financiera de transferencias de dinero, ni a su correo electrónico, ni a su celular. Amonesta, sin contar con un seguro colectivo que
la protegiera por ingeniería social. En su criterio, el BNCR se encuentra en posición de ventaja en relación con el consumidor,
quien es desconocedor de la seguridad cibernética bancaria, que resulta engañado por falta de información y educación financiera
tecnológica, por lo que al ser la parte débil de la relación comercial de consumo no debería asumir el riesgo de la pérdida del
dinero. Sostiene, no es un hecho controvertido que el BNCR no ofrece un seguro colectivo con cobertura de ingeniería social ni
trato preferencial a los adultos mayores usuarios de Internet banking. Invoca, el artículo 35 de la ley no. 7472 establece la
responsabilidad objetiva de quien ejerce o aprovecha una actividad con elementos potencialmente peligrosos para los demás, por
lo que debe soportar los inconvenientes. Argumenta, la culpa del consumidor tiene fundamentalmente un aspecto cognoscitivo,
puede tratarse de una conducta por mala fe contractual para sacar provecho económico ilegítimo, lo cual no sucede en la
ingeniería social. Recalca, a la empresa no es ajena al daño porque el consumidor actuó por ignorancia sin entendimiento de sus
actuaciones, concluye, por esa razón no es culpa de la víctima. Reprende, la impericia no es achacable al consumidor sino al
empresario, por ofrecer un servicio de forma masiva al público, sin los conocimientos técnicos que se requieren.
XI. Al respecto, el Tribunal Contencioso Administrativo y Civil de Hacienda, en la sentencia recurrida expuso: “2.- Sobre la
ajenidad del banco demandado frente al daño sufrido por la actora: Habiendo arribado a este punto de análisis esta cámara de
juzgadores en valoración de la prueba en su conjunto y a la luz de la línea jurisprudencial de la Sala Primera de la Corte Suprema
de Justicia citada, arriba a la conclusión de que en el presente caso el daño que experimentó la señora Xinia Blanco Montero a
partir de los hechos descritos, resulta ajeno al banco y que en ese entendido en aplicación de lo dispuesto en el artículo 35 de la
Ley de Promoción de la Competencia y Defensa Efectiva del Consumidor, ello rompe con la base de imputación que haría
procedente el reproche de responsabilidad patrimonial que se le acusa. Considerando odioso cualquier suerte de proceso racional
fundado en automatismos, es nuestro criterio que en un correcto entendimiento de la evolución que en lo social se ha
experimentado por la población con el hoy cotidiano uso de estas tecnologías de la información a partir de la instrumentalización de
la “internet” para la adquisición de bienes y/o servicios, el trinomio funcional que para el caso resulta relevante, banco, sistemas a
través de los cuales brinda sus servicios como lo es el denominado “internet banking”, y el cliente, supone en éste un mínimo de
rigor que le es exigible se prevea o no contractualmente, conforme el cual de ser observado en lo que toca a la prudencia y cuidado
que debe observar frente a amenazas, peligros o riesgos que trae consigo su uso, que no puede ser un tema soslayado. Partimos,
además, de que el banco en el caso concreto cumple con su deber de probar en el marco de la carga dinámica de la prueba. En
esta dirección, debemos apuntar a que el particular testimonio del señor Cillian Alberto Cuadra Chavarría ha resultado a la vista de
esta autoridad judicial vasto en conocimiento, objetivo y seguro en sus aseveraciones, además de calificado por sus atestados y
experiencia en la materia, de modo tal que no encontramos modo de dudar de su ajuste con la realidad. Así, con soporte en la
prueba documental y el testimonio referido, que no ha resultado desvirtuado, con certeza se puede afirmar que dada la forma de
obrar por parte de las organizaciones delictivas dedicadas a actividades como las que afectó a la actora, lograron acceder a la
información necesaria para ingresar a la cuenta bancaria, que sólo la señora Xinia Blanco Montero conocía. A partir de lo anterior,
resulta claro que sumado a que los sistemas de seguridad del banco no fueron vulnerados en ningún nivel, que la causa eficiente
del efecto dañoso reprochado se encontró residenciado en la capacidad del cliente de resguardar su información confidencial y
secreta, frente a las acciones que pudieron emprender en su contra aquellos terceros. El riesgo asociado al servicio “internet
banking” en este sentido, no se encuentra en el sistema mismo, como sí en las circunstancias personales del cliente que es
abordado por estas bandas. Se trata por otro lado, de una capacidad intelectiva para detectar y luego ofrecer resistencia ante esos
embates, sobre la que el banco no tiene control alguno, ni podría tenerlo, so pena de tornar el servicio que presta inoperante.
Véase que el sistema genera necesariamente la posibilidad de que el cliente realice de forma remota transacciones en disposición
de los fondos habidos en su cuenta bancaria, lo que sería impensable de exigirse a la entidad bancaria corroborar la identidad del
operador en términos físicos, como se obraría en el caso de realizarse la misma gestión en ventanilla. De este modo, el sistema es
funcional con causa en que en poder del cliente se ponen herramientas que le permiten validar su identidad frente al sistema
mediante la transmisión de información, en la medida que es un supuesto primordial en adecuada técnica para el funcionamiento
del servicio, que se trate usando la información que sólo esa persona está en posibilidad de suministrar. El hecho de que, siendo
esa información de la calidad mencionada, y no obstante ello, no siendo conocida por el banco, sí lo sea por un tercero diverso al
cliente, no puede conducir a otra conclusión, de que por algún mecanismo sea determinado o no, se logró por parte de ese tercero,
que quien se encuentra en dominio de esa información se la transmitiese de manera consciente o inconsciente. Aquí estimamos
que el artículo 190 de la Ley General de la Administración Pública no resulta de aplicación al caso concreto, por existir norma
especial en el artículo 35 de la Ley de Promoción de la Competencia y Defensa Efectiva del Consumidor que contempla como causa
eximente de responsabilidad la ajenidad del daño. Dicha causal operó en el caso bajo estudio, al demostrar el BN que sus sistemas
funcionaron con normalidad en el momento de los hechos reclamados y que el nivel de riesgo es aceptable para el uso del “internet
banking” dentro de la oferta de servicios virtuales del mercado. Dadas las circunstancias descritas, consideramos que en el caso
concreto se impone declarar sin lugar la demanda en lo que se requirió que se condene al banco demandado al reintegro de las
sumas que fueron sustraídas del modo mencionado líneas atrás, siendo la protección que el banco brinda a sus clientes, la
adecuada en ciencia y técnica, siendo el banco ajeno a esos efectos dañosos. Por resultar una pretensión accesoria, también
resulta improcedente el daño moral objetivo. Se deja constancia que no resultó útil para demostrar la teoría del caso de la parte
actora, la declaración del perito, señor William Acuña Li, quien en términos generales desconocía información relevante sobre el
caso particular, emitió opiniones personales al punto de, -en apariencia conforme lo logramos entender- proponer como solución a
este fenómeno, el limitar el acceso de los servicios bancarios mediante el uso de internet a los adultos mayores, debido por su
condición, lo que estimamos, una solución inaceptable desde el punto de vista del trato igualitario -no discriminatorio- que debe
darse a todo cliente del Banco, por el hecho de serlo. Concluyó por otro lado, que el BN no puede prever una estafa a un cliente y
aunque señaló que en su opinión lo puede prevenir, no logró explicar cómo. Aquí es importante señalar que la condición de adultos
mayores de los clientes del servicio bancario no es un elemento que per se le imponga a la institución demandada otras
obligaciones y cargas distintas de las que debe cumplir con el resto de sus clientes. Tampoco existe amparo en el Ordenamiento
Jurídico para acoger la demanda únicamente con sustento en la condición de adultos mayores. En el mismo orden, se rechaza por
accesoria la pretensión de intereses legales. En consecuencia, se declara sin lugar la demanda contra del BN en todos sus
extremos.”
XII. Plantea la casacionista que el BNCR no es ajeno al daño por cuanto considera que no existe culpa del consumidor, ya que
se dio una auto puesta en peligro de forma inconsciente, no dolosa. Sobre este mismo tema existe amplia jurisprudencia de esta
Sala, en voto reciente no. 00225-2023 del 16 de febrero de 2023, se indicó: “(…) pretender atribuir a un agente del mercado, sin
más, la responsabilidad por actos de terceros con participación de la presunta víctima supondría una carga excesiva y
desproporcionada, lo que podría propiciar, a su vez, descalabros en el sector financiero y, en general, en la economía. Indudable e
indiscutiblemente, un acto de una persona ajena y externa al banco constituye un hecho fuera de su control. En este punto debe
hacerse otra precisión. Si la entidad financiera no toma las medidas necesarias y adecuadas para proteger a sus clientes frente a
cualquier tipo de criminalidad que tenga por objetivo a personas consumidoras de servicios bancarios, a pesar de tener
conocimiento de tal amenaza, allí sí sería autora de una conducta que podría dar lugar a responsabilidad de su parte. No obstante,
el nexo causal deviene inimputable a la actividad económica, aún a título objetivo, cuando el daño se debe a aspectos que escapan
totalmente al control de la organización empresarial, precisamente, por su carácter exógeno. Sobre esto último, esta Sala también
ha insistido en que la responsabilidad objetiva frente a las personas consumidoras, para operar, debe relacionarse a un riesgo
interno de la empresa, con independencia de si su materialización se debe a un proceder culposo o no; es decir, el criterio de
atribución queda excluido si el evento dañino se debe a un factor externo a la organización.” (El resaltado es propio). Asimismo, en
sentencia no. 1016-2022 de las 09 horas 39 minutos del 12 de mayo de 2022, indicó: “…para que un riesgo sea atribuible a una
empresa, de tal manera que su materialización conlleve responsabilidad a la misma, el mismo debe exceder de aquellos que sean
tolerables para la persona que sufre el daño. Además, debe ser intrínseco a la actividad lucrativa desplegada, es decir, debe
tratarse de un riesgo interno de la organización, a pesar de que su materialización sea imprevisible”. Tal postura fue reiteración de
la contenida en múltiples precedentes de este órgano de casación; entre ellos, el voto no. 116-2012 de las 09 horas 20 minutos del
16 de febrero de 2012, reiterado, a su vez, en el no. 232-2017 de las 10 horas 05 minutos del 09 de marzo de 2017. En el primero
de estos, se indicó: “En la actualidad, la vida en sociedad ofrece un sinnúmero de riesgos, de distintos grados y alcances, al punto
que se puede afirmar que es imposible encontrar una actividad cotidiana que se halle exenta de ellos. En esta línea, la
interpretación de las normas no puede partir de una aversión absoluta y total al riesgo, el cual, como se indicó́ , forma parte integral
de la convivencia societaria y de los avances tecnológicos que se le integran. Lo anterior conlleva a que, para el surgimiento del
deber de reparación, el riesgo asociado con la actividad debe presentar un grado de anormalidad, esto es, que exceda el margen
de tolerancia que resulta admisible de acuerdo con las reglas de la experiencia, lo cual debe ser analizado, de manera casuística,
por el juez. El segundo punto que requiere algún tipo de comentario es en cuanto al sujeto que deviene obligado en virtud de una
actividad considerada como peligrosa. Según se indicó, el criterio de imputación es, precisamente, el riesgo creado, lo que hace
suponer que la persona a quien se le imputa el daño debe estar en una posición de dominio respecto de aquel (…) Lo anterior,
aunado a la existencia de causales eximentes demuestra que la legislación en comentario no constituye una transferencia
patrimonial automática. (en igual sentido las sentencias no. 300 de las 11 horas 25 minutos del 26 de marzo de 2009, no. 116 de
las 9 horas 20 minutos del 16 de febrero de 2012)”. Ahora bien, con respecto a qué se entiende por ajenidad al daño, en la ya
comentada resolución no. 1016-2022, se estableció que: “…en lo que respecta a los supuestos por los cuales puede entenderse
que no opera la responsabilidad objetiva, el artículo 35 de la LPCDEC establece que: “Sólo se libera quien demuestre que ha sido
ajeno al daño”. Además, ese mismo cuerpo normativo, en su artículo 71, contempla la siguiente norma de integración : “Para lo
imprevisto en esta Ley, regirá, supletoriamente, la Ley General de la Administración Pública”. Así las cosas, al no haber en la ley no.
7472 un detalle expreso de qué debe entenderse por ajenidad al daño, resultan aplicables las causales eximentes contenidas en la
LGAP. En similar sentido, se pronunció la Sala Tercera de la Corte en la sentencia no. 2005-1117, de las 16 horas 25 minutos de
29 de setiembre de 2005. La empresa es ajena al daño, entonces, en los supuestos de fuerza mayor, culpa de la víctima y hecho
de un tercero (ordinal 190 de la LGAP). Por su parte el numeral 1048, párrafo cuarto, del Código Civil, contempla como eximentes
de la responsabilidad objetiva la fuerza mayor y la culpa de la víctima”. Con base en el amplio bagaje jurisprudencial citado, es
dable señalar, con total seguridad, que la realización de un acto ilícito y dañino por parte de un tercero – con o sin participación de
la presunta víctima -, sin que el agente oferente del servicio bancario haya propiciado condiciones idóneas para tal acción, resulta
totalmente inimputable a este último, por cuanto el daño no es el resultado de un riesgo propiciado o creado por la entidad
financiera, sino de presuntos actos ilícitos – en el caso particular, ideados y materializados por personas externas a la organización
empresarial del BNCR-, por lo tanto no es procedente la posición de la recurrente en cuanto a pretender la diferenciación de si la
presunta víctima estaba consciente o no del ardid para efectos de endilgarle la responsabilidad a la entidad bancaria, pues
precisamente ambas hipótesis se encuentran fuera del control de ésta y es lo que motiva su exclusión. Por otro lado, el reproche
carece de fundamentación en cuanto a lo pretendido por la recurrente sobre el deber del Banco de poseer un seguro colectivo
contra fraudes por ingeniería social, de modo que el análisis de tal petitoria es improcedente. Así las cosas, resultará la
denegatoria del agravio.
XIII. En virtud de lo expuesto, se deberá declarar sin lugar el recurso de casación interpuesto por la actora. Son las
costas de este a su cargo, conforme lo dispuesto en el artículo 150.3 del Código Procesal Contencioso Administrativo.
XIV. VOTO SALVADO DEL MAGISTRADO LÓPEZ CASAL. Con el acentuado y acostumbrado respeto que les tengo a
mis colegas Magistradas y colegas Magistrados que, en este caso concreto, conforman la mayoría de esta honorable Sala de
Casación, me aparto de la decisión tomada por ella, salvo mi voto y lo emito de la siguiente manera: Tal y como así lo he indicado
en casos parecidos a éste (ver voto salvado del Magistrado López Casal consignado en la sentencia número 892-F de las
14:40 horas del 14 de junio de 2023 de la Sala Primera de la Corte Suprema de Justicia), desde mi perspectiva, lleva razón
el casacionista, motivo por el cual, en lo que fue impugnado por él, debe declararse con lugar su recurso de casación y por ello se
casará la sentencia impugnada y se declarará con lugar la pretensión principal de la demanda. Esto se debe a que, en casos como
éste, en los cuales, la entidad bancaria le ofrece, al consumidor financiero, el servicio consistente en llevar a cabo operaciones
bancarias, de diversa índole, a través de sistemas o plataformas informáticos (verbi gratia, el coloquialmente conocido servicio de
"internet banking"), es menester tomar en cuenta que dicho servicio se subsume dentro de las actividades humanas que, según la
más reciente doctrina del Derecho de Daños, pueden causar riesgos anormales o cualificados, a los cuales les sería aplicable,
como criterio de imputación jurídica, la teoría del riesgo creado, que, como lo tiene establecido esta Sala de Casación, es otro de
los criterios de atribución jurídica del daño resarcible ínsito en el artículo 35 de la Ley de Promoción de la Competencia y Defensa
Efectiva del Consumidor. De acuerdo con la profesora española, Natalia Alvarez Lata, las actividades que generan un riesgo
anormal o cualificado poseen las siguientes características: 1) La actividad causante del daño ha de suponer la creación de un
riesgo considerable o anormal, en relación con los estándares medios; 2) Han de valorarse las circunstancias concretas en las que
se desarrolla la actividad; 3) Los riesgos anormales producen daños cualificados, es decir, "la anormalidad del riesgo se evalúa
asimismo por la relevancia cuantitativa y cualitativa de los daños en juego. Un análisis de esta responsabilidad, desde el punto de
vista de los daños producidos, deja constancia de que es un área especialmente sensible: generalmente se aprecian daños
personales, muchas veces con resultado de muerte; o daños patrimoniales de gran envergadura. Esta conclusión es obvia, ya que
dos de los parámetros definidores del riesgo o la peligrosidad de la actividad son: la magnitud del daño que dicha actividad puede
originar y la frecuencia de dichos daños (y, normalmente, ambos combinados) y; 4) En teoría, el despliegue de las medidas de
prevención razonables no haría desaparecer ese riesgo: "En la responsabilidad por riesgo, el despliegue por parte del causante del
daño de las medidas de prevención que se consideran razonables no evita la producción del daño, dada la peligrosidad de la
actividad o el riesgo anormal que conlleva. Por ello, la regla de la culpa no resulta (tan) eficiente, ya que el nivel de diligencia que se
pueda desplegar por parte del titular de la actividad no es un factor (tan) determinante en la probabilidad del acaecimiento del daño
(...)". (al respecto ver Alvarez Lata, Natalia. Doctrina del riesgo en la jurisprudencia: riesgos anormales o cualificados.
En: Herrador Guardia, Mariano José (Director). Daño, responsabilidad y seguro. Madrid, Ediciones Francis Lefebvre,
año 2016, páginas 371 a 376). Para el Infrascrito Magistrado disidente, el servicio de "internet banking" se subsume dentro de
este conjunto de actividades capaces de causar riesgos anormales o cualificados, precisamente porque entraña el elevado riesgo
de que otros sujetos, ajenos al demandado, con grandes conocimientos de la tecnología, del internet y de los sistemas de
computadoras, puedan interferir en los canales de comunicación y de contacto, predispuestos por los oferentes del servicio de
"internet Banking" y hacerle creer, al consumidor financiero, que es el Banco quien le envía determinada información o le solicita
llevar a cabo determinada acción en el marco de ese servicio. Además, no cabe perder de vista que, usualmente, el cliente
bancario es un consumidor vulnerable, por cuanto no suele poseer todos los conocimientos técnicos, suficientes y necesarios, para
discernir si está siendo víctima de actividades fraudulentas, como el conocido "phishing" u otras parecidas o si se trata de
información veraz que proviene, efectivamente, de la entidad financiera con la cual mantiene una relación de consumo. Contrario a
lo que sostiene la mayoría de esta Sala de Casación, en este caso no concurre la causal de exoneración de responsabilidad,
conocida como hecho de un tercero, por cuanto considero que el Banco también tuvo responsabilidad civil en la sustracción del
dinero de la cuenta bancaria de la actora, la cual nace por la omisión de no haber desplegado acciones tendentes a impedir o
minimizar el despojo patrimonial sufrido por la actora, tales como el bloqueo de su cuenta bancaria. En este sentido, lleva razón la
casacionista al haber manifestado que el Tribunal de primera instancia pretirió el informe pericial rendido por el experto William
Acuña Li, en el cual el señor perito expresó las razones por las cuales, en su criterio especializado, el demandado sí contaba con
las herramientas tecnológicas y con las posibilidades suficientes para haber evitado o minimizado el despojo patrimonial sufrido por
la parte actora. Aunado a lo anterior, el Infrascrito Magistrado sostiene que el Tribunal A quo omiti ó considerar y sopesar, con
mayor cuidado, aspectos fácticos sometidos a debate por parte de la actora en su escrito de demanda, tales como su condición de
adulta mayor, la cual depende de su pensión para la satisfacción de sus necesidades y el hecho indubitable y probado de que el
día catorce de noviembre de dos mil diecinueve se le efectuaron, desde sus cuentas en el Banco Nacional, un total de ocho
transferencias consecutivas, inusuales y fraudulentas por las sumas de cuatro millones treinta mil colones y mil novecientos noventa
y nueve dólares, lo cual debió haber sido motivo suficiente para que el Banco sospechara de la irregularidad de esos movimientos
bancarios y, acto seguido, hubiese bloqueado la cuenta bancaria de la actora y se hubiera comunicado con ella para informarle lo
acontecido. Nada de eso hizo el Banco demandado, sino que, por el contrario, en sede administrativa, siempre negó su
responsabilidad por la pérdida patrimonial del actor y se refugió en la letanía de que "los sistemas de seguridad del Banco no
fueron vulnerados". Como lo indica la más moderna doctrina del Derecho del consumidor español, no existe una única categoría o
perfil de consumidor, sino que puede haber varias y es necesario distinguir entre ellas, para dar una solución más certera y justa a
los litigios del Derecho del Consumidor. En este sentido, la autora española María Natalia Mato Pacín expresa lo siguiente: “Como
consecuencia de la jurisprudencia del TJUE, el consumidor que se ha tomado como referencia en muchas ocasiones para la
aplicación de las normas generales de consumo es el conocido como “consumidor medio”, es decir, aquel normalmente informado y
razonablemente atento y perspicaz (entre otras muchas, SSTJUE de 30 de abril de 2014, caso Kásler, TJCE 2014/105, de 26 de
febrero de 2015, caso Matei, TJCE 2015/93, 16 de julio de 2020, casos Caixabank y BBVA, TJCE 2020/104). Sin embargo, desde
hace tiempo se ha valorado desde la propia Unión Europea que este concepto no abarca todos los perfiles de consumidores
existentes en la realidad pues en la práctica algunos de ellos pueden tener problemas para entender o asimilar información que se
les proporciona, para seguir el proceso de contratación y, en general, para la toma de decisiones acorde con sus intereses. De ahí
que uno de los ámbitos prioritarios de la Nueva Agenda del Consumidor de la Unión Europea (2020-2025) sea proteger más
eficazmente a los consumidores vulnerables abordando sus necesidades específicas. Como consecuencia de esta tendencia, el
Real Decreto-Ley 1/2021 de 19 de enero, introduce, a través de un párrafo segundo en el artículo 3 TRLGDCU, el concepto de
“personas consumidoras vulnerables respecto de relaciones concretas de consumo”, que, “a los efectos de esta ley y sin
perjuicio de la normativa sectorial”, serán “aquellas personas físicas que, de forma individual o colectiva, por sus características,
necesidades o circunstancias personales, económicas, educativas o sociales, se encuentran aunque sea territorial, sectorial o
temporalmente, en una especial situación de subordinación, indefensión o desprotección que les impide el ejercicio de sus
derechos como personas consumidoras en estado de igualdad” (negrita y cursiva son del Magistrado disidente). (al respecto
ver Mato Pacín, María Natalia. Capítulo 1. El Derecho de consumo y el consumidor. En: Santos Morón, María José y
Mato Pacín, María Natalia (Coordinadoras). Derecho de consumo: visión normativa y jurisprudencial actual. Madrid,
Editorial Tecnos, año 2022, páginas 31-32). En otro orden de cosas, de acuerdo con la doctrina del Derecho de Daños, el hecho
de un tercero, como causal de exoneración de responsabilidad civil, no opera cuando el agente, al que se le imputa responsabilidad
civil, ha contribuido con la producción del resultado dañoso y en tales casos responde solidariamente, junto con el tercero, por los
daños y perjuicios causados a la víctima del daño. (al respecto ver Reglero Campos, Luis Fernando. El nexo causal. Las
causas de exoneración de responsabilidad: culpa de la víctima y fuerza mayor. La concurrencia de culpas. En: Busto
Lago, José Manuel y Reglero Campos, Luis Fernando (Coordinadores). Lecciones de responsabilidad civil. Navarra,
Thomson Reuters Aranzadi, 2. edición, año 2013, página 125). De acuerdo con lo expuesto, como no se configura el hecho de
un tercero como causal de exoneración de responsabilidad civil, es menester determinar si concurre y fue probada alguna otra de
las causales de exoneración de responsabilidad civil que, según la jurisprudencia de esta misma Sala de Casación, se desprenden
del texto del numeral 35 de la Ley de Promoción de la Competencia y Defensa Efectiva del Consumidor. Según la sentencia número
457-F de las 14:30 horas del 10 de abril de 2013, esas causales de exoneración son: a) La culpa de la víctima; b) El hecho de un
tercero; c) La fuerza mayor; d) Porque se logra demostrar que no hay una relación de consumo en los términos en que lo presume
la ley y; e) Que, en el caso específico de la teoría del riesgo creado (que es uno de los criterios de imputación que establece el
supra citado artículo 35 de la Ley de Promoción de la Competencia y Defensa Efectiva del Consumidor, según sentencia de la Sala
Primera de la Corte Suprema de Justicia número 200-F de las 9:40 horas del 16 de febrero de 2012), se lograra demostrar que
dicho riesgo no se ubique en un grado de anormalidad. En el sub júdice, no concurre ninguna otra de esas causales de
exoneración de responsabilidad civil y especialmente no concurre la que preconiza que no se trata de un riesgo anormal, porque,
todo lo contrario, se trata de un verdadero riesgo anormal o cualificado, que proviene de una actividad particularmente riesgosa,
como lo es, sin lugar a dudas, el servicio de internet banking, con base en las razones ya indicadas. No puede decirse que hubo
culpa de la víctima, porque "manipulaciones o utilizaciones incorrectas de los usuarios de los productos o servicios ajenas a las
normas más elementales de cuidado y protección se consideran como causas exoneradoras de la responsabilidad del empresario
siempre que: a) tales acciones resulten ser la causa única del daño (TS 24-9-02, EDJ 34916) o; b) cuando dándose una
circunstancia concurrente exista una gran desproporción o; c) la actuación de la víctima es de tal gravedad que anula o absorbe
aquélla" (Alvarez Lata, Natalia. op. cit., página 381). En el presente litigio no hubo culpa de la víctima porque quedó demostrado
que a ella se le envió un mensaje de texto, a su teléfono celular y también un correo electrónico, en el cual se le pidió el cambio de
su clave y se le comunicó que había olvidado su contraseña. La parte actora tuvo bases razonables para pensar que se trataba de
una comunicación fidedigna del banco actor, quien, por otro lado, no demostró, como era su carga procesal hacerlo, que le hubiera
informado, debidamente, a la parte actora, que debía abstenerse de considerar y de realizar aquello que se le indicó bajo el
mensaje de que había olvidado su clave u otro mensaje similar. Como lo ilustra la autora española, Natalia Alvarez Lata, "la correcta
manipulación o uso de los productos, instrumentos o servicios, por parte de la víctima se ha de conectar con su posición concreta
en el evento dañoso y, más particularmente, con la información que ésta recibiera de parte del empresario, ya que ha de tenerse en
cuenta que, por lo general, el supuesto típico del evento dañoso está configurado por un producto o servicio peligroso o ligado al
avance tecnológico. De ahí que, muchas veces, la falta de reglas del producto o servicio o la deficiente información por parte del
empresario en torno a su tilización o prestación sean circunstancias que propicien el fracaso de esta causa exoneradora o que
reduzcan su efecto exonerador, para entenderla como concurso de culpas y moderar la indemnización" (al respecto ver Alvarez
Lata, Natalia. Ibídem., página 381). POR TANTO: En voto de minoría, declaro con lugar el recurso de casación interpuesto por la
parte actora. En consecuencia, se casa la sentencia de primera instancia. En sustitución de ese veredicto, se rechaza la excepción
de falta de derecho y se declara con lugar la pretensión principal de la demanda.
POR TANTO
Por mayoría, se declara sin lugar el recurso de casación. Son las costas de este a cargo de quien lo interpuso. Salva el voto el
magistrado López Casal. JCHEUNG

Luis Guillermo Rivas Loaiciga

Damaris Vargas Vásquez Ana Isabel Vargas Vargas

Yuri Lopez Casal Jessica Alejandra Jiménez Ramírez

Documento Firmado Digitalmente

-- Código verificador --

1RHBYCIECLK61
Teléfonos: (506) 2295-3658 o 2295-3659, correo electrónico sala_primera@poder-judicial.go.cr

Es copia fiel del original - Tomado del Nexus PJ el: 07-12-2023 10:48:44.