{ "id": "nexus-ext-1-0034-136110", "citation": "", "section": "nexus_decisions", "doc_type": "court_decision", "title_es": "Responsabilidad objetiva del banco por fraudes en banca electrónica", "title_en": "Bank's strict liability for electronic banking fraud", "summary_es": "La sentencia analiza la responsabilidad del Banco Nacional de Costa Rica por la sustracción electrónica no autorizada de fondos de las cuentas de una empresa cliente, a través del servicio de Internet Banking. El tribunal reafirma que la relación banco-cliente constituye una relación de consumo, regulada por la Ley de Promoción de la Competencia y Defensa Efectiva del Consumidor (Ley No. 7472). Se aplica el régimen de responsabilidad objetiva del artículo 35 de dicha ley, que prescinde de la culpa y exige al proveedor del servicio demostrar su ajenidad al daño para liberarse. El tribunal concluye que el banco falló en acreditar causas eximentes como culpa de la víctima o hecho de un tercero, pues no demostró que sus sistemas de seguridad no fueron vulnerados y que el cliente reveló negligentemente sus datos. Se impone al banco la obligación de reparar el daño patrimonial ocasionado, resaltando su deber de garantizar la seguridad de las transacciones y la custodia de los fondos del público, incluyendo los canales de acceso al sistema.", "summary_en": "The ruling examines the liability of Banco Nacional de Costa Rica for unauthorized electronic withdrawals from a corporate client's accounts via its Internet Banking service. The court reaffirms that the bank-client relationship is a consumer relationship governed by the Consumer Protection Law (Law No. 7472). The strict liability regime under Article 35 of that law applies, which does not require proof of fault and places the burden on the service provider to prove it was not responsible for the damage. The court finds the bank failed to establish exempting causes such as contributory negligence or third-party actions, as it did not demonstrate its security systems were not breached or that the client negligently disclosed access data. The bank is ordered to compensate the patrimonial harm, highlighting its duty to guarantee transaction security and custody of public funds, including access channels to the system.", "court_or_agency": "", "date": "", "year": "", "topic_ids": [ "_off-topic" ], "primary_topic_id": "_off-topic", "es_concept_hints": [ "relación de consumo", "responsabilidad objetiva", "nexo causal", "carga dinámica de la prueba", "ajenidad al daño", "culpa de la víctima", "hecho de un tercero", "fuerza mayor" ], "concept_anchors": [ { "article": "Art. 46", "law": "Constitución Política" }, { "article": "Art. 35", "law": "Ley 7472" }, { "article": "Art. 32", "law": "Ley 7472" }, { "article": "Art. 34", "law": "Ley 7472" }, { "article": "Art. 190", "law": "Ley General de la Administración Pública" }, { "article": "Art. 71", "law": "Ley 7472" } ], "keywords_es": [ "responsabilidad objetiva", "derecho del consumidor", "comercio electrónico", "internet banking", "carga de la prueba", "nexo causal", "culpa de la víctima", "seguridad informática", "transferencias electrónicas" ], "keywords_en": [ "strict liability", "consumer law", "electronic commerce", "internet banking", "burden of proof", "causation", "contributory negligence", "cybersecurity", "electronic transfers" ], "excerpt_es": "En la especie, fue precisamente la falencia de mecanismos de seguridad la que generaron la concreción de un daño en contra de la empresa actora, consistente en la sustracción de un monto de dinero, el cual ha sido reconocido por el Banco en ¢19.500.000,00 (diecinueve millones quinientos mil colones), pero para la demandante es de $40.000.00 (cuarenta mil dólares), producto de varias transacciones realizadas a favor de otros cuentacorrentistas del mismo Banco Nacional de Costa Rica. Ello supone un daño del cual, el ente bancario no ha logrado desvincularse al no haberse acreditado la ajenidad con el daño ni la concurrencia de alguna de las causas eximentes que le permitirían liberarse de esa responsabilidad objetiva que impera en materia de relaciones de consumo.", "excerpt_en": "In this case, it was precisely the failure of security mechanisms that caused the harm to the plaintiff company, consisting of the unauthorized withdrawal of funds, which the Bank acknowledged as ₡19,500,000.00 (nineteen million five hundred thousand colones), but which the plaintiff claims is $40,000.00 (forty thousand dollars), from various transactions made to other account holders at the same Banco Nacional de Costa Rica. This constitutes damage from which the bank has not been able to dissociate itself, as it has not proven its lack of involvement with the damage or the occurrence of any exempting causes that would allow it to be released from the strict liability that governs consumer relations.", "outcome": { "label_en": "Granted", "label_es": "Con lugar", "summary_en": "Banco Nacional de Costa Rica is ordered to compensate the plaintiff company for patrimonial harm caused by electronic fund withdrawals, having failed to prove exempting causes from its strict liability as provider of Internet Banking services.", "summary_es": "Se condena al Banco Nacional de Costa Rica a reparar el daño patrimonial sufrido por la empresa actora debido a la sustracción electrónica de fondos, al no poder acreditar causas eximentes de su responsabilidad objetiva como proveedor del servicio de Internet Banking." }, "pull_quotes": [ { "context": "Considerando XI", "quote_en": "The liability attributed to the Bank is based not on the theft of money by a third party, but on the existence of a risk, as set out in recital III, in the very operation of the service it offers, which allows the origin of the damage to be attributed to the operation of the service.", "quote_es": "La responsabilidad que le fue imputada al Banco se fundamenta, no en la sustracción del dinero por un tercero, sino en la existencia de un riesgo, según lo expuesto en el considerando III, en el funcionamiento propio del servicio que ofrece, lo que permite imputar el origen del daño al funcionamiento del servicio." }, { "context": "Considerando XI (citando Res. 300-2009 Sala Primera)", "quote_en": "Notwithstanding the foregoing, the defendant financial institution must consider that its essential function is financial intermediation, which includes the raising of funds from public savings, a concept that inherently entails their custody, both physically and in the corresponding electronic record.", "quote_es": "No obstante lo anterior, debe tomar en cuenta la entidad financiera demandada que su función esencial es la intermediación financiera, que incluye la captación de fondos provenientes del ahorro del público, concepto que lleva implícita su custodia, tanto desde el punto de vista físico, como del registro electrónico correspondiente." }, { "context": "Considerando XI", "quote_en": "Thus, it would be unthinkable to try to shift that burden of proof so that the user of banking services offered by Banco Nacional de Costa Rica would have to know in detail all of that bank's security systems, and from there, also demonstrate the existence of any vulnerability.", "quote_es": "Así las cosas, sería impensable pretender desplazar esa carga de la prueba, a fin de que el usuario de los servicios bancarios ofrecidos por el Banco Nacional de Costa Rica, sea quien deba conocer en detalle todos los sistemas de seguridad de ese banco, y a partir de ahí, demostrar además la existencia de alguna fisura." } ], "cites": [], "cited_by": [], "references": { "internal": [ { "target_id": "norm-26481", "kind": "concept_anchor", "label": "Ley 7472 Art. 35" } ], "external": [] }, "source_url": "", "tier": 2, "_editorial_citation_count": 0, "regulations_by_article": null, "amendments_by_article": null, "dictamen_by_article": null, "concordancias_by_article": null, "afectaciones_by_article": null, "resoluciones_by_article": null, "cited_by_votos": [], "cited_norms": [], "cited_norms_inverted": [ { "doc_id": "norm-13231", "norm_num": "6227", "norm_name": "Ley General de la Administración Pública", "tipo_norma": "Ley", "norm_fecha": "02/05/1978" }, { "doc_id": "norm-15437", "norm_num": "", "norm_name": "Código Civil de Costa Rica", "tipo_norma": "", "norm_fecha": "" }, { "doc_id": "norm-26481", "norm_num": "7472", "norm_name": "Ley de Promoción de la Competencia y Defensa Efectiva del Consumidor", "tipo_norma": "Ley", "norm_fecha": "20/12/1994" }, { "doc_id": "norm-871", "norm_num": "0", "norm_name": "Derecho a un ambiente sano y ecológicamente equilibrado — Artículo 50 de la Constitución Política", "tipo_norma": "Constitución Política", "norm_fecha": "07/11/1949" } ], "sentencias_relacionadas": [], "temas_y_subtemas": [], "cascade_only": false, "amendment_count": 0, "body_es_text": "“VI.- Sobre los derechos fundamentales de los consumidores. Regulación constitucional y legal.\nPara este caso, se hace necesario hacer una breve referencia al ordenamiento constitucional y legal\nque precisa el conjunto de derechos que le resultan aplicables a los consumidores en las relaciones\nde adquisición de bienes y/o servicios. Esto es relevante al considerar que los contratos de\ncuenta corriente (incluso la electrónica), así como la generalidad de la oferta financiera y\nbancaria, forman parte de ese tipo de relaciones comerciales en las cuales, el destinatario del\nservicio o bienes se constituye como consumidor, categoría a la cual, en razón de la dinámica del\ncomercio, se han consagrado derechos y obligaciones. Este tema ha sido ya objeto de examen por\nparte de este Tribunal , en las sentencias números 1112-2009 de las 13 horas con 30 minutos del 15\nde junio de 2009, número 602-2010 de las dieciséis horas treinta minutos del diecinueve de febrero\ndel dos mil diez , número 2758-2010 de las once horas con cuarenta y cinco minutos del veintiocho\nde julio del dos mil diez y la número 3699-2010 de las once horas con cincuenta y siete minutso del\ntreinta de setiembre de dos mil diez . En dichos precedentes, esta Sección Sexta ha establecido que\neste tipo de relaciones participa de la categoría de relaciones de consumo. Desde este plano, el\ncanon 46 párrafo quinto de la C onstitución Política establece el conjunto de derechos que acuden a\nlos consumidores, en la mayoría de las ocasiones, como parte débil de la relación comercial. En esa\nlínea, estatuye el citado numeral: “Artículo 46.- (…) Los consumidores y usuarios tienen derecho a\nla protección de su salud, ambiente, seguridad e intereses económicos; a recibir información\nadecuada y veraz; a la libertad elección, y a un trato equitativo. El Estado apoyará los organismos\nque ellos constituyan para la defensa de sus derechos. La Ley regulará esas materias”. Cabe\nprecisar que el derecho a un trato equitativo supone en cualquier supuesto, el deber del\ncomerciante o proveedor, de tratar al consumidor de manera atenta y respetuosa frente a sus simples\nreclamos, o en la tutela de sus derechos tanto en sede administrativa y judicial. Ahora bien, es\nclaro que la aplicación de estos principios y su interpretación, debe orientarse hacia la tutela y\nresguardo de la parte más débil de la relación. Así lo ha entendido la Sala Constitucional, entre\notros, en la sentencia número 2002-0 857, en l a cual, sobre el tema objeto de comentario señaló:\n“Es notorio que el consumidor se encuentra en el extremo de la cadena formada por la producción,\ndistribución y comercialización de los bienes de consumo que requiere adquirir para su\nsatisfacción personal, y su participación en ese proceso, no responde a razones técnicas ni\nprofesionales, sino en la celebración constante de contratos a título personal. Por ello su\nrelación en esa secuencia comercial es de inferioridad y requiere de una especial protección frente\na los proveedores de los bienes y servicios, a los efectos de que previo a externar su\nconsentimiento contractual cuente con todos los elementos de juicio necesarios, que le permitan\nexpresarlo con toda libertad y ello implica el conocimiento cabal de los bienes y servicios\nofrecidos. Van incluidos por lo expresado, en una mezcla armónica, varios principios\nconstitucionales, como la preocupación estatal a favor de los más amplios sectores de la población\ncuando actúan como consumidores, la reafirmación de la libertad individual al facilitar a los\nparticulares la libre disposición del patrimonio con el concurso del mayor posible conocimiento del\nbien o servicio a adquirir, la protección de la salud cual está involucrada, el ordenamiento y la\nsistematización de las relaciones recíprocas entre los interesados, la homologación de las\nprácticas comerciales internacionales al sistema interno y en fin, la mayor protección del\nfuncionamiento del habitante en los medios de subsistencia” De lo expuesto se colige, en la\nrelación de consumo entre el comerciante o proveedor y el consumidor, existe por la dinámica\nnatural del comercio, una desigualdad entre ambos, y el consumidor, en la mayoría de las ocasiones,\nen esta relación natural, es la parte más débil. De ahí que la Constitución Política equilibre la\ndinámica de cargas de esa relación de consumo, otorgándole al consumidor una serie de derechos\nfundamentales que lo protegen de su desigualdad natural con el comerciante o proveedor. Como\nderivación de ello, la interpretación y la aplicación de las normas, en caso de duda, en los\nconflictos de esta naturaleza, deben favorecer al más débil, es decir, en tesis de principio, al\nconsumidor. De ahí que en esos supuestos, el comerciante o proveedor, tiene una obligación de\ndemostrar que ha cumplido con sus obligaciones en la relación de consumo y que ha respetado los\nderechos fundamentales del consumidor, en caso contrario, deberá responder por la infracción a\nestas reglas como lo determine las normas infra constitucionales. Ahora, como lo dice el artículo\n46 constitucional, es a la Ley a la que le corresponderá regular esos derechos, lo que se concreta\nen la Ley de Promoción de la Competencia y Defensa Efectiva del Consumidor, No. 7472. Dicho cuerpo\nlegal establece, grosso modo, los derechos que acuden al consumidor, tema desarrollado en el canon\n32, así como los deberes del comerciante, establecidos en el canon 34. Es claro por ende, la\ninfracción a los deberes del comerciante, genera por efecto directo y como consecuencia natural y\nlógica, el quebranto de los derechos del consumidor, tutelados constitucional y legalmente en los\ntérminos ya expuestos. Ello supone entonces, el surgimiento de un sistema de responsabilidad del\ncomerciante o proveedor hacía el consumidor, de reparar los daños y perjuicios que se le ocasionen\na este último. En consecuencia, si existe una violación a los derechos constitucionales y legales\ndel consumidor, por parte del comerciante o proveedor, éste debe reparar el efecto dañoso que se le\nhaya causado al consumidor, bajo el régimen de responsabilidad objetiva que en el siguiente\nconsiderando de esta sentencia se explicará con detalle y precisión.\n\n V II .- Sobre el régimen jurídico de responsabilidad aplicable a las relaciones de comercio\nelectrónico de índole bancario. Aspecto relevante dentro de este proceso es la determinación del\nrégimen jurídico aplicable a este tipo de vinculaciones comerciales como la que se ha presentado\nentre las partes. Sobre regulaciones legales que d el contrato de cuenta corriente establece el\nCódigo de Comercio, este Tribunal ha sido claro, tesis que sostiene al no aportarse argumentos de\nderecho que justifiquen una variación en esta postura, siendo los contratos de cuenta corriente con\nservicios electrónicos de internet bankin g una variación más de las relaciones económicas de\nconsumo, en este caso, de servicios bancarios y financieros, son de total y plena aplicación las\nnormas de responsabilidad fijadas por la Ley de Promoción de la Competencia y Defensa Efectiva del\nConsumidor. Aún considerando que en el contexto actual, las cuentas electrónicas suponen como\ncriterio de base la existencia de un contrato de cuenta corriente, considerándose por ende en un\nservicio adicional a este último, o bien, una variación actualizada, lo cierto del caso es que en\nel contexto conceptual desarrollado en el artículo 2 de la Ley No. 7472, esa vinculación encaja a\nplenitud dentro de las relaciones de consumo en tanto se trata de una parte comerciante o\nproveedora de servicios financieros o bancarios, que son adquiridos por un cliente que constituye\nel destinatario final de esa oferta de mercado. Se trata de un contrato comercial por adhesión que\ntiene por objeto la oferta de servicios bancarios de administración de fondos mediante una cuenta\ncorriente, en virtud del cual el Banco recibe del cliente fondos u otros valores acreditables de\nmanera inmediata o en calidad de depósito o bien, otorgamiento de crédito, para girar contra él.\nResulta evidente que cuando la cuenta permita transferencias electrónicas, como derivación de la\nmodernidad tecnológica, no resulta de aplicación la referencia al concepto de cheques (como\ndocumento físico). Precisamente la aplicación de mecanismos desmaterializados en el comercio para\nla disponibilidad de esos fondos y cuentas prescindiendo de emisión de documentos físicos, es hoy\nen día una oferta más dentro del citado contrato de cuenta corriente, que resulta altamente\natractiva para el consumidor, dada la agilidad y simplificación de las transacciones, lo que exige,\nmecanismos de seguridad de movimientos monetarios para concretar el deber de eficiente y diligente\ncustodia de los fondos del cliente. Desde esa arista de examen, las normas que refieren a la\ntipología contractual del vínculo no desmejora ni elimina que se trate de una relación de consumo,\nregulada por ende, además, por las disposiciones de la Ley No. 7472. De ahí que no exista duda en\nque el régimen jurídico de responsabilidad aplicable al presente asunto es el numeral 35 de la\ncitada Ley de Promoción de la Competencia y Defensa Efectiva del Consumidor. Así, a modo de\nreferencia lo ha expuesto esta Sección en el fallo No. 2758-2010 precitado, en el cual, sobre el\ntema en concreto se señaló: \"De esas resoluciones, se puede extraer el criterio unánime de que el\nrégimen de responsabilidad objetiva que debe aplicarse en asuntos como el presente, es el dispuesto\nen los artículos 31 y 35 de la Ley de Promoción de la Competencia y de Defensa Efectiva del\nConsumidor, esto debido a que estamos en presencia de una relación comercial de consumo, en la cual\nel Banco Nacional de Costa Rica, pese a que es una administración pública, brinda un servicio\ncomercial de Internet Bankin, el cual se califica como un servicio mercantil privado, por lo que\ndicha institución bancaria no está actuando dentro de sus potestades administrativas, sino como un\nsujeto de derecho privado y debe regularse por la normativa respectiva, como lo es la Ley de\nPromoción de la Competencia y de Defensa Efectiva del Consumidor. Asimismo, la empresa actora viene\nen su calidad de cliente del banco demandado, por lo que se configuran los elementos esenciales\npara la existencia de una relación comercial de consumo que se rige por las reglas de la citada Ley\nde Protección al Consumidor. (...) Además, de lo dicho por este mismo Tribunal Contencioso\nAdministrativo, este órgano jurisdiccional considera que la Ley de Promoción y Defensa del\nConsumidor, regula un régimen jurídico especial, que debe ser aplicado sobre el régimen jurídico\ngeneral, como sería en este caso la normativa comercial sobre cuentas corrientes, o sobre la\nmateria contractual, por lo que desde esta simple óptica, debe aplicarse las reglas de la\nresponsabilidad objetiva que regula la citada Ley de Protección del Consumidor. Asimismo, y bajo\nlos mismos argumentos indicados anteriormente, este Tribunal no está de acuerdo con el alegato de\nla parte demandada en el sentido de que se apliquen las normas del Código de Comercio,\nespecíficamente en lo concerniente a los contratos de cuentas corrientes, ya que como ha quedado\nexpuesto, la normativa de protección al consumidor es un régimen especial que se encuentra sobre el\ngeneral del Código de Comercio.\"\n\n VI II .-\nAntecedentes de la Sala\n Primera de la Corte Suprema de Justicia en casos similares. Ya\ncon lo expuesto, merece traerse a colación lo resuelto por la Sala Primera en la\nsentencia número 300-20 0 9 de las once horas veinticinco minutos del\nveintiséis de marzo del dos mil nueve, analizando el tema objeto de\ncontroversia, señaló: \"III.- Responsabilidad\nobjetiva por riesgo en materia del consumidor. En lo que se refiere a la\nresponsabilidad, se pueden ubicar dos grandes vertientes, una subjetiva, en la\ncual se requiere la concurrencia, y consecuente demostración, del dolo o culpa\npor parte del autor del hecho dañoso (v.gr. el\ncardinal 1045 del Código Civil), y otra objetiva, que se caracteriza, en lo\nesencial, por prescindir de dichos elementos, siendo la imputación del daño el\neje central sobre el cual se erige el deber de reparar. Como ejemplo de lo\nanterior, se encuentra el numeral 35 de la Ley de Defensa Efectiva del Consumidor, en donde\nel comerciante, productor o proveedor, responderá por aquellos daños derivados\nde los bienes transados y los servicios prestados, aún y cuando en su actuar no\nse detecte negligencia, imprudencia, impericia o dolo. Asimismo, es importante\nconsiderar, por su influencia en el tema probatorio, que los elementos\ndeterminantes para el surgimiento de la responsabilidad civil, sea esta\nsubjetiva u objetiva, son: una conducta lesiva (la cual puede ser activa o\npasiva, legítima o ilegítima), la existencia de un daño (es decir, una lesión a\nun bien jurídico tutelado), un nexo de causalidad que vincule los dos anteriores,\ny en la mayoría de los casos la verificación de un criterio de atribución, que\ndependerá del régimen legal específico. En cuanto a la causalidad, es menester\nindicar que se trata de una valoración casuística realizada por el juzgador en\nla cual, con base en los hechos, determina la existencia de relación entre el\ndaño reclamado y la conducta desplegada por el agente económico. Si bien\nexisten diversas teorías sobre la materia, la que se ha considerado más acorde\ncon el régimen costarricense es la de causalidad adecuada, según la cual existe\nuna vinculación entre daño y conducta cuando el primero se origine, si no\nnecesariamente, al menos con una alta probabilidad según las circunstancias\nespecíficas que incidan en la materia, de la segunda (en este sentido, pueden\nverse, entre otras, las resoluciones 467-F-2008 de las 14 horas 25 minutos del\n4 de julio de 20085, o la 1008-F-2006 de las 9 horas 30 minutos del 21 de\ndiciembre de 2006). En este punto, es importante aclarar que la comprobación de\nlas causas eximentes (culpa de la víctima, de un hecho de tercero o la fuerza\nmayor), actúa sobre el nexo de causalidad, descartando que la conducta\natribuida a la parte demandada fuera la productora de la lesión sufrida. En lo\nque se refiere a los distintos criterios de imputación, para los efectos del\npresente caso, interesa la teoría del riesgo creado, la cual fue incluida, en\nforma expresa, en la Ley\nde Defensa del Consumidor. El esquema objetivo por el que se decanta la ley,\nasí como la aplicación del criterio de imputación citado, se desprenden de la\nsimple lectura de la norma en cuestión, la cual estipula (...) Realizando un\nanálisis detallado de la norma recién trascrita, se desprenden una serie de\nelementos condicionantes de su aplicación. En primer lugar, y desde el plano de\nlos sujetos, esto es, quien causa el daño y quien lo sufre, la aplicación de\neste régimen de responsabilidad se encuentra supeditada a que en ellos\nconcurran determinadas calificaciones. Así, en cuanto al primero, se exige que\nsea un productor, proveedor o comerciante, sean estas personas físicas o\njurídicas. Por su parte, en cuanto al segundo, la lesión debe ser irrogada a\nquien participe de una relación jurídica en donde se ubique como consumidor, en\nlos términos definidos en el cuerpo legal de referencia y desarrollados por\nesta Sala. Se requiere, entonces, que ambas partes integren una relación de\nconsumo, cuyo objeto sea la potencial adquisición, disfrute o utilización de un\nbien o servicio por parte del consumidor. El Banco actúa en ejercicio de su\ncapacidad de derecho privado, como una verdadera empresa pública, y en dicha\ncondición, ofrece a sus clientes un servicio, por lo que, al existir una\nrelación de consumo, el caso particular debe ser analizado bajo el ámbito de\ncobertura del numeral 35 en comentario. Asimismo, del precepto bajo estudio se\ndesprende, en segundo lugar, que el legislador fijó una serie de criterios de\natribución con base en los cuales se puede imputar la responsabilidad objetiva\nque regula este cardinal, dentro de los que se encuentra la ya citada teoría\ndel riesgo. Así, este sirve como factor para endilgarle la responsabilidad a\nlos sujetos a que se hace referencia. En esencia, dicha teoría postula que,\nquien crea, ejerza o se aprovecha de una actividad lucrativa lícita que\npresenta elementos potencialmente peligrosos para los demás, debe también\nsoportar sus inconvenientes (ubi emolumentum,\nubi onus, el cual puede ser\ntraducido como donde está el emolumento, está la carga). De la anterior\nafirmación se pueden colegir dos características: por un lado, que el riesgo\nproviene de una actividad de explotación; y por el otro, al ser realizada por\nel ser humano, se excluyen los denominados hechos de la naturaleza. Concomitantemente,\nimporta realizar algunas precisiones en cuanto a los riesgos aptos para la\ngeneración de la responsabilidad, ya que no todo riesgo implica el surgimiento,\nen forma automática, de esta. En la actualidad, la vida en sociedad ofrece un\nsinnúmero de riesgos, de distintos grados y alcances, al punto que se puede\nafirmar que es imposible encontrar una actividad cotidiana que se encuentre\nexenta de ellos. En esta línea, la interpretación de las normas no puede partir\nde una aversión absoluta y total al riesgo, el cual, como se indicó, forma\nparte integral de la convivencia societaria y de los avances tecnológicos que\nse integran a esta. Lo anterior lleva a afirmar que, para el surgimiento del\ndeber de reparación, el riesgo asociado con la actividad debe presentar un\ngrado de anormalidad, esto es, que exceda el margen de tolerancia que resulta\nadmisible de acuerdo a las reglas de la experiencia, lo cual debe ser\nanalizado, de manera casuística, por el juez. El segundo punto que requiere\nalgún tipo de comentario es en cuanto al sujeto que deviene obligado en virtud\nde una actividad considerada como peligrosa. Como ya se indicó, el criterio de\nimputación es, precisamente, el riesgo creado, lo que hace suponer que la\npersona a quien se le imputa el daño debe estar en una posición de dominio\nrespecto de aquel, es decir, debe ser quien desarrolla la actividad o asume las\nposibles consecuencias negativas asociadas, recibiendo un beneficio de ello. Este\npuede ser directo, el cual se puede identificar, entre otros, con los ingresos\no emolumentos obtenidos a título de contraprestación, o bien indirectos, cuando\nla situación de ventaja se da en forma refleja, que podría ser el caso de\nmecanismos alternos que tiendan a atraer a los consumidores, y en consecuencia,\nderiven en un provecho económico para su oferente. Es importante mencionar que\nen una actividad es dable encontrar distintos grados de riesgo, los cuales\ndeben ser administrados por aquel sujeto que se beneficia de esta,\ncircunstancia que ejerce una influencia directa en el deber probatorio que le\ncompete, ya que resulta relevante para determinar la imputación en el caso\nconcreto. Lo anterior, aunado a la existencia de causales eximentes demuestra\nque la legislación en comentario no constituye una transferencia patrimonial\nautomática.\" . \n\n\n\n I X .- Alcances del régimen de responsabilidad regulado en la Ley No. 7472. Resulta claro\nentonces que la norma de responsabilidad aplicable a la especie es el precitado ordinal 35 de la\nLey No. 7472, que a su tenor literal precisa: \"ARTÍCULO 35.- Régimen de responsabilidad. El\nproductor, el proveedor y el comerciante deben responder concurrente e independientemente de la\nexistencia de culpa, si el consumidor resulta perjudicado por razón del bien o el servicio, de\ninformaciones inadecuadas o insuficientes sobre ellos o de su utilización y riesgos./ Sólo se\nlibera quien demuestre que ha sido ajeno al daño./ Los representantes legales de los\nestablecimientos mercantiles o, en su caso, los encargados del negocio son responsables por los\nactos o los hechos propios o por los de sus dependientes o auxiliares. Los técnicos, los encargados\nde la elaboración y el control responden solidariamente, cuando así corresponda, por las\nviolaciones a esta Ley en perjuicio del consumidor.\" La correcta comprensión de la norma permite\nconcluir sobre la naturaleza objetiva de este régimen de responsabilidad, que por tal, prescinde de\nla consideración de factores subjetivos, como el dolo o la culpa grave. Segundo, es necesario\nacreditar la existencia de una conducta lesiva, activa u omisiva, esto significa que debe\npresentarse por parte del comerciante o proveedor una violación de los derechos del consumidor o\nbien de sus obligaciones. Es claro que para que sea posible la imputación de responsabilidad, debe\ndemostrarse la existencia de un daño efectivo, evaluable e individualizable, que sea consecuencia\nde las conductas del comerciante (presunto responsable). Esto implica, la acreditación de un nexo\nde causalidad entre esa lesión y el comportamiento del proveedor de servicios o bienes. Ahora bien,\nen el contexto del régimen jurídico aplicable al caso de este tipo de relaciones de consumo, el\nnumeral 35 de la Ley No. 7472 establece la posible liberación de responsabilidad a quien\ndemuestre la ajenidad con el daño. Por aplicación supletoria del artículo 190 de la Ley General de\nla Administración Pública (conforme a la remisión que estatuye el canon 71 de la Ley de Promoción\nde la Competencia y Protección Efectiva del Consumidor), las causas eximentes de responsabilidad\nallí previstas, son de plena aplicación a esa materia. Desde luego que a tono con la carga dinámica\nde la prueba, corresponde a quien pretende liberarse de una obligación, acreditar lo hechos\nliberatorios, impeditivos o modificativos del derecho que se pretende ejercer en su contra. Sobre\nel tema de carga de la prueba en este tipo de procesos, puede verse el considerando IV de la\nsentencia 300-2009 de la Sala Primera de la Corte Suprema de Justicia. Así las cosas, resulta\ndeterminante establecer en este proceso, la convergencia de los diversos supuestos referidos que\npermiten hacer surgir la responsabilidad objetiva del ente bancario, como lo alega el accionante, o\nsi por el contrario, se ha configurado algunas de las causas eximentes de esa responsabilidad que\npermita tener al Banco como ajeno al daño que se reclama en esta sede .\n\n X - Análisis del caso concreto. Sobre la responsabilidad objetiva del Banco Nacional.\nAcreditación del daño y nexo causal. En la especie, se ha tenido por acreditado, que la empresa\nBahía Pez Vela Administration S.A. tiene dos cuenta s corriente con el Banco Nacional de Costa\nRica, la número 100-01-015-006077-5 en colones y la número 100-02-015-600387-8 en dólares, siendo\nque en esas , en el período comprendido entre el 10 y el 14 de marzo de 2008 , se realizaron una\nserie de débitos por transferencias electrónicas, para un total de cuarenta y dos transferencias a\nfavor de varias cuentas pertenecientes a otros clientes del mismo Banco demandado ( ver detalle\ndel informe del Supervisor de Seguridad del Banco accionado visible a folios 1 al 4 del expediente\nadministrativo ), por un total , según dicho informe de ¢19.500.000.00 ( diecinueve millones\nquinientos mil colones ). Según se indicó, l os débitos fueron realizados desde direcciones IP\npropias del País, en máquinas no vinculadas con el propio Banco demandado y que, la parte actora\nniega contaran con su anuencia, pues tanto ante la misma institución bancaria, como ante el\nOrganismo de Investigación Judicial, manifestó que fue la contadora de la empresa la que se dio\ncuenta de los faltantes al consultar el sistema de internet a los efectos de realizar algunas\noperaciones, razón por la cual el mismo 14 de marzo de 2008 procedió a dar parte al Banco,\nsolicitando la investigación respectiva. Como efecto de la denuncia presentada por el representante\nde la empresa afectada, el Supervisor de Seguridad del Banco Regional Guanacaste-Puntarenas en\noficio BRGP-005-2008 de 7 de abril de 2008, entre sus conclusiones indicó : \"... dado que en el\nregistro transaccional que identifican al titular de la cuenta, como autor de las transferencias\nsospechosas reportadas, figuran los datos que identifican al titular de la cuenta, como autor de\nlas mismas. Lo cual que (sic) refleja que lo ocurrido no obedece a una violación de los sistemas de\nseguridad del banco, si no a una falla del ususario. Por lo tanto se recomienda, salvo mejor\ncriterio de su parte declinar el presente reclamo administrativo, rechazando en todos sus extremos\nla pretensión de reintegro de los fondos... \" (folio 1 del expediente administrativo) . Sustentado\nen ello, el Director de Banca Regional Guanacaste-Puntarenas del Banco Nacional de Costa Rica,\nmediante oficio BRGP-142-2008 fechado 9 de abril de 2008, le comunicó al señor Brenes Cabalceta\nsobre la investigación realizada en el caso denunciado, entre otras cosas le indicó que los\nmovimientos no fueron realizados desde ninguna máquina relacionada con el Banco y que de acuerdo a\nlas direcciones IP de donde se ejecutaron son servicios que brinda el ICE, Racsa, Cable Amnet y\nCable Tica, por lo que no obedece a la violación de los sistemas de seguridad del banco, sino a una\nfalla del usuario, razón por la cual se rechazaba el reclamo (Folios del 5 al 7 del expediente\nadministrativo). Ante lo cual el representante de la empresa Bahía Pez Vela Administration S.A. ,\nplanteó el 22 de abril de 2008 recursos de revocatoria y apelación en subsidio contra lo resuelto\nen oficio BRGP-142-2008, alegando que la empresa fue objeto de una acción de terceros que abusando\ndel sistema de manejo electrónico de fondos que tiene el Banco Nacional (Folio 11 al 20 del\nexpediente administrativo). Ambos recursos le fueron rechazados, el de revocatoria en oficio\nBRGP-163-2008 de 30 de abril de 2008, y el de apelación por parte de la Junta Directiva General en\nartículo 10, de la sesión N° 11.497 del 26 de agosto de 2008, aduciendo que el daño patrimonial\nocasionado no ocurrió por una conducta desplegada por el Banco, sino por la negligencia de un\nrepresentante o autorizado en la cuenta, quien debió revelar los datos necesarios para tener acceso\na la cuenta y realizar las transferencias de dinero de la cuentas a varias personas, (Folios 21 y\n23 respectivamente del expediente administrativo). No obstante haberse dado el agotamiento de la\nvía administrativa, el representante de la empresa afectada, el 28 de julio de 2009 presentó\nnuevamente el reclamo administrativo ante la sucursal de Liberia del Banco Nacional de Costa Rica,\nsolicitando el pago de $40.000 que indicó fueron sustraídos de sus cuentas (Folio 40 y 41 del\nexpediente principal), y que ante la omisión de resolución, el día 8 de enero de 2010 (Folio 73 del\nexpediente principal), se instó al Banco emitir la resolución respectiva de su reclamo, sin obtener\nresultado. Del cuadro fáctico anteriormente descrito, este Tribunal extrae con claridad que ha\nexist ido una relación de consumo entre el Banco Nacional y l a empresa accionante, con lo cual le\nes aplicable al caso lo dispuesto en el artículo 35 de la Ley No. 7472 , tal y como se ha\nindicado. A demás, se ha podido constatar un daño a los d erechos del consumidor que se concreta\npor el riesgo producido por la utilización de la plataforma tecnológica del servicio de internet\nbankin g ofrecido por el ente bancario , ocurriendo un daño en la esfera patrimonial del\naccionante, consistente en la sustracción no autorizada de dinero de sus cuentas, según se\ndetermina en el estudio que realizó el Banco con ocasión de las transferencias realizadas entre\nlos días 10 al 14 de marzo de 2008 de las cuentas en dólares y colones de la empresa aquí actora .\nSi Bien el Banco demandado intenta indicar que no es suya la responsabilidad, lo cierto es que la\nlesión sufrida debe considera rse como consecuencia de la falta de implementación de mecanismos de\nseguridad adecuada para la utilización de los servicios de transferencias electrónicas que se\nposibilitan en internet bankin g, servicio que ofrece el Banco Nacional de Costa Rica, como en este\ncaso, a la empresa Bahía Pez Vela Administration S.A. Así las cosas, es manifiesto el nexo nexo\ncausal que es debido para poder imputar la responsabilidad en este tipo de situaciones. C omo se\nindicó, c abe resaltar que el representante de la empresa afectada, una vez conocido de las\nsustracciones procedió a denunciarlo tanto ante el Banco que le ofrecía los servicios, así como a\nlas autoridades de polícía, en este caso al Organismo de Investigación Judicial, ambas en fecha 14\nde marzo de 2008, siendo que las operaciones realizadas indebidamente a sus cuentas lo fueron\nentre el 10 y el día 14 de marzo de ese año, lo que evidencia la atención pronta del afectado.\n\n X I .- Análisis sobre la existencia de causas eximentes en el caso . C omo se indicó en líneas\nanteriores, es el proveedor o comercializador del servicio de internet Banking, en este caso el\nBanco Nacional de Costa Rica, el que podría librarse de su reponsabilidad objetiva derivada de la\naplicación del artículo 35 de la Ley 7472, solo cuando acredite (pues es su carga probatoria) la\najenidad del resultado lesivo, sea que en el caso medió la c ulpa de la víctima, hecho de tercero\no bien, la fuerza mayor. El banco aleg ó, incluso como excepción de fondo, la concurrencia de culpa\nde la víctima, y como consecuencia de ello la participación de terceras personas. En efecto, la\nposición asumida por el Banco al contestar la demanda, lo es sustentado en el voto salvado del Juez\nPalacios Garcia a la sentencia 910-2010 de la Sección IV de este Tribunal, en el cual entre\notros aspectos se detemina que en cuanto a la obtención de las claves y contraseñas necesarias para\nrealizar las transacciones, se hace necesario determinar, ya sea que ello obedeciera a la\nimpericia del banco o de sus funcionarios; o que un tecero haya utilizado medios informáticos para\nobtener de forma directa del cliente los datos necesarios a fin de accesar al sistema. No\nobstante, esta integración del Tribunal, mantiene su postura en cuanto a que la carga de la prueba\nen este tipo de casos, sigue siendo de la institución bancaria, de allí que, si ésta mantiene, como\nlo hace en este caso, la idea de la existencia de una supresión de su responsabilidad ya sea por la\npropia intervención del cliente que con descuido dejó sus datos en manos de terceros, o que el\nbanco mismo no tuviera responsabilidad, son aspectos que, a efectos de su exención, deberá\ncomprobar en los autos. Al respecto, se debe indicar que en la contestación a la demanda no se\nahonda en el tema, y hace referencia al informe de investigación realizado con ocasión de la\nvicisitud acaecida a la empresa actora, por lo que se hace necesario analizar lo allí dispuesto.\nAsí, en oficio BRGP-005-2008 de 7 de abril de 2008, el señor Gilberth Marchena Viales, Supervisor\nde Seguridad del Banco Nacional de Costa Rica, al analizar el caso, hace referencia a que en la\nnormativa interna de la institución y en el contrato suscrito, el cliente se comprometió a\nconservar sus documentos de identificacción como clave (pasword), el código de usuario y otros\ndatos personales necesarios para acceder al sistema informático, pero lo cierto es que en ningún\nmomento se identifica algún motivo, circunstancia u otro dato para que de forma consecuente,\nconcreta y determinada, se pueda concluir que efectivamente empleados o personeros de la empresa\nafectada cometieran por acción u omisión un descuidado uso de la documentación de identificación\npara usar el sistema, solamente parten de una suposición, ello derivado, a su entender, de que las\ntransacciones no se dieron desde ninguna máquina del Banco, ni sus empleados, y que las direcciones\nIP utilizadas corresponden a sujetos ajenos a la instiución. Esta derivación no puede ser tomada\nen cuenta en un caso como el que nos ocupa para trasladar la responsabilidad al cliente o un\ntercero, pues los datos con los que se cometieron las transferencias no autorizadas, bien pudieron\nhaber obtenidos de los mismos registros bancarios por la falta de controles en el sistema\ninformático, lo que no se descarta en ningún momento con lo indicado en el informe de investigación\nmencionado, pues bien es sabido que, los llamados \"hackers\" podrían perfectamente haber\nincursionado en los sistemas y haber obtenido de allí los datos necesarios para haber realizado las\ntransacciones que afectaron finalmente las cuentas que la empresa Bahía Pez Vela mantiene con la\ninstitución financiera. De hecho, como se indicó, en informe no es contundente en ese sentido, sino\nque parte de supuestos, incluso, al resolverse en este caso la apelación planteada, la Junta\nDirectiva General del Banco Nacional de Costa Rica, mantuvo la conjetura, pues en el artículo\ndécimo de la sesión 11497 del 23 de agosto de 2008, aseguró que; \"...el daño patrimonial ocasionado\na la recurente, no ocurrió por una conducta desplegada por el Banco Nacional de Costa Rica, sino\npor una conducta negligente realizada por un representante o autorizado para el acceso a la cuenta,\nlo que a la postre implicó la transferencia de dinero a las cuentas de varias personas...\" Sea que,\nsin ninguna prueba, el Banco en aras de librar su responsabilidad, asevera que fueron los\npersoneros o trabajadores de la empresa afectada la que por \"negligencia\" revelaron los datos. Se\ninsiste, el Banco no puede solamente indicar que ha manejado bien los datos a lo interno y sin\nmayor probanza simplemente indicar que si no fue la institución debe ser el cliente el\nresponsable, argumento que resulta totalmente desprovisto de fuerza probatoria y por ende debe ser\ndesechado como elemento a toma en cuenta en la posible eximenta de la responsabilidad objetiva que\nde estos casos deriva, pues lo indicado de esa forma no tendría el mérito para ser tomado como\nprueba fehaciente de su accionar informático sin vulneración, ni mucho menos imputar una falta a\notros sin contar con respaldo para ello. En efecto , un análisis a fondo de las diversas pruebas\nque constan en autos, no permiten concluir sobre conductas imprudentes o negligentes de l a\ncuentacorrentista que permitan supone r que puso en conocimiento de terceras personas, información\nrelevante para el acceso a sus cuentas. Además, de la investigación técnic a que fue agregad a al\nexpediente, no existe acreditación de que el actor hubiera cedido sus datos sensibles para la\nrealización de las transferencias objeto de conflicto. Por lo que n o puede desprenderse en la\nespecie la concurrencia de culpa de la víctima al no haber sido diligente en la custodia de los\nmedios de acceso a la herramienta Internet Bankin g (datos sensibles en su poder) , y además, e l\nBanco no pudo demostrar en este proceso que el daño fuera ajeno a su marco de acción y previsiones.\nTampoco se ha logrado acreditar que los sistemas de seguridad del banco hayan funcionado de forma\nadecuada o que no haya existido una falla en los sistemas de seguridad de la entidad bancaria\ndemandada. Por otra parte, no fueron aportados elementos de convicción necesarios para acreditar el\nhecho de un tercero como causa de exclusión de la responsabilidad del Banco. Si bien se detecta que\nlas transferencias fueron realizadas desde direcciones IP localizadas en el país , lo cierto del\ncaso es que en lo medular, se insiste, el ente accionado no acreditó que sus sistemas de seguridad\nno hubieran sido vulnerados de manera que un nivel de seguridad y mínimo riesgo por el uso de los\nservicios electrónicos. No podría sostenerse que la carga de la prueba respecto de la\nvulnerabilidad de esos mecanismos o sistema de seguridad informática pese sobre el actor, pues en\nsentido contrario, su carga probatoria debe estar dirigida a la demostración de la existencia de\nuna o varias circunstancias que impidan el surgimiento de la tantas veces mencionada\nresponsabilidad civil, la cual por ley pesa sobre esa institución bancaria. Así las cosas, sería\nimpensable pretender desplazar esa carga de la prueba, a fin de que el usuario de los servicios\nbancarios ofrecidos por el Banco Nacional de Costa Rica, sea quien deba conocer en detalle todos\nlos sistemas de seguridad de ese banco, y a partir de ahí, demostrar además la existencia de\nalguna fisura. Tal posición no implica la imposibilidad de demostrar la existencia de una culpa de\nla víctima o el hecho de un tercero, en el marco del comercio electrónico bancario. Cabe destacar,\nes el demandado quien diseña y condiciona el acceso a los sistemas utilizados en el marco de la\nherramienta denominada Internet Bankin g , razón por la cual, cuenta con la posibilidad de\nestablecer cuantos sistemas de seguridad estime oportunos, a fin de garantizar que las\ntransacciones sean hechas por su cliente, y no sólo por alguien que tenga a su disposición datos\nsensibles de ese usuario. En este sentido, es el ente bancario, que lucra con los servicios\nfinancieros ofrecidos, quien ha de asegurarse la utilización de sistemas informáticos y\nadministrativos, que desde el punto de vista jurídico, permitan con certeza, la acreditación de la\nidentidad física del usuario, verbigracia, el establecimiento con carácter de obligatorio de los\ndispositivos OTP, o incluso, valorar en el marco de su autonomía administrativa, el establecer la\nutilización de dispositivos que reduzcan los riesgos y acrediten con un mayor grado de certeza la\nidentidad del cliente, tales como las herramientas biométricas, esto a fin de contar con sistemas\nque permitan la pre constitución de prueba. En esta dirección ha considerado la Sala Primera de\nla Corte Suprema de Justicia:\"No obstante lo anterior, debe tomar en cuenta la entidad financiera\ndemandada que su función esencial es la intermediación financiera, que incluye la captación de\nfondos provenientes del ahorro del público, concepto que lleva implícita su custodia, tanto desde\nel punto de vista físico, como del registro electrónico correspondiente. No cabe duda que se\nencuentra sometida a una ineludible obligación de garantizar la seguridad de las transacciones\nrealizadas, ya sea en ventanilla o mediante cualquier otro medio puesto a disposición de los\nclientes, la cual debe abarcar, necesariamente, el uso de todos aquellos mecanismos disponibles que\nle permitan contar con un mayor grado de certeza en cuanto a la identificación de las personas que\nse encuentran facultadas para realizar transacciones electrónicas desde las cuentas. La\nresponsabilidad que le fue imputada al Banco se fundamenta, no en la sustracción del dinero por un\ntercero, sino en la existencia de un riesgo, según lo expuesto en el considerando III, en el\nfuncionamiento propio del servicio que ofrece, lo que permite imputar el origen del daño al\nfuncionamiento del servicio. Lo anterior, a pesar de disponer de mecanismos que permiten mayor\nseguridad. (...) Al fin y al cabo, los bancos, sin que el demandado sea la excepción, custodian y\nadministran, entre otros, un bien ajeno; y no cualquier bien, sino fondos del público. Así las\ncosas, no solo responde por la fortaleza de sus sistemas internos, sino también por la seguridad de\nquien, para llegar allí, utiliza los únicos canales posibles que el propio Banco conoce y reconoce\ncomo riesgosos. Y responde no en cuanto ajenos, sino en la medida en que constituye el medio del\nque se prevalece, directamente, para la prestación del servicio. Tal y como lo preceptúa el numeral\n35 de la Ley de Protección al Consumidor, ha habido un perjudicado en razón del servicio, que al\nser utilizado (y en vista de su carácter riesgoso) produjo una lesión importante a quien figura en\nel proceso como parte actora. (...) El medio para acceder a la plataforma del Banco no se trata,\npor ende, de un foco ajeno de riesgo, sino de un instrumento consustancial al servicio que presta;\nsi se quiere, forma parte intrínseca de la actividad, que si bien es accesorio a la actividad del\nintermediario, resulta imprescindible. De allí que los mecanismos de garantía al cliente –usuario-,\ndeben darse no solo dentro de los muros informáticos del propio Banco, sino también en el camino de\nacceso a él como parte del servicio. No en vano, el Sistema Financiero se ha abocado, en general,\na la implementación de mecanismos de doble identificación, al mejoramiento de las claves y, en\ngeneral, el uso de sistemas recientes como la utilización de tockens, claves cambiantes, llaves con\ndispositivos especiales, entre otros.\" (Resolución No. 300-2009 precitada) Dicha referencia pone en\nevidencia que la vulnerabilidad del sistema no es un asunto que deba acreditar el cuentahabiente,\npor el contrario, dada la actividad que realiza, el lucro que obtiene por ese giro comercial y al\nconstituirse un medio que permite la agilización de las transacciones derivadas de la cuenta\ncorriente, contrato que supone una custodia de fondos del público, es el ente financiero quien debe\nacreditar que sus sistemas de seguridad cuentan con el grado de seguridad aceptable y que en cada\ncaso concreto, no fueron vulnerados. En la especie, fue precisamente la falencia de mecanismos de\nseguridad la que generaron la concreción de un daño en contra de l a empresa actor a , consistente\nen la sustracción de un monto de dinero, el cual ha sido reconocido por el Banco en ¢19.500.000,00\n( diecinueve millones quinientos mil colones ) , pero para la demandanete es de $40.000.00\n(cuarente mil dólares), producto de v arias transacciones realizadas a favor de otros\ncuentacorrentistas del mismo Banco Nacional de Costa Rica. Ello supone un daño del cual, el ente\nbancario no ha logrado desvincularse al no haberse acreditado la ajenidad con el daño ni la\nconcurrencia de alguna de las causas eximentes que le permitirían liberarse de esa responsabilidad\nobjetiva que impera en materia de relaciones de consumo.”", "body_en_text": "VI.- On the fundamental rights of consumers. Constitutional and legal regulation.\nFor this case, it is necessary to make a brief reference to the constitutional and legal framework\nthat specifies the set of rights applicable to consumers in relationships\nfor the acquisition of goods and/or services. This is relevant when considering that\nchecking account contracts (including electronic ones), as well as the generality of financial and\nbanking offerings, form part of that type of commercial relationships in which the recipient of the\nservice or goods constitutes a consumer, a category for which, due to the dynamics of\ncommerce, rights and obligations have been enshrined. This topic has already been the subject of examination by\nthis Court, in rulings number 1112-2009 of 1:30 p.m. on June 15,\n2009, number 602-2010 of 4:30 p.m. on February 19, 2010, number\n2758-2010 of 11:45 a.m. on July 28, 2010, and number 3699-2010 of 11:57 a.m.\non September 30, 2010. In these precedents, this Sixth Section has established that\nthis type of relationship partakes of the category of consumer relationships. From\nthis perspective, canon 46, fifth paragraph of the Political Constitution establishes the set of rights that attend\nconsumers, in most cases, as the weaker party in the commercial relationship. In that\nline, the cited numeral establishes: \"Article 46.- (...) Consumers and users have the right\nto the protection of their health, environment, security, and economic interests; to receive adequate\nand truthful information; to freedom of choice, and to equitable treatment. The State shall support the organizations\nthey constitute for the defense of their rights. The Law shall regulate these matters.\" It is worth\nspecifying that the right to equitable treatment presupposes, in any\ncase, the duty of the merchant or provider to treat the consumer in an\nattentive and respectful manner in the face of their simple claims, or in the protection of\ntheir rights both in administrative and judicial venues. Now then, it is clear that\nthe application of these principles and their interpretation must be oriented towards the\nprotection and safeguarding of the weaker party in the relationship. This is how the Constitutional Chamber has understood it, among\nothers, in ruling number 2002-0857, in which, on the subject\nunder discussion, it stated: \"It is notorious that the consumer is at\nthe end of the chain formed by the production, distribution, and\ncommercialization of the consumer goods they need to acquire for their\npersonal satisfaction, and their participation in that process does not respond to technical or\nprofessional reasons, but rather to the constant conclusion of contracts\non a personal basis. Therefore, their relationship in that commercial sequence is one\nof inferiority and requires special protection against the providers\nof the goods and services, so that prior to expressing their\ncontractual consent they have all the necessary elements of judgment\nthat allow them to express it with complete freedom, and this implies full\nknowledge of the goods and services offered. Included by what has been expressed, in\na harmonious mix, are several constitutional principles, such as the state's\nconcern in favor of the broadest sectors of the population when they act as\nconsumers, the reaffirmation of individual freedom by facilitating\nprivate parties' free disposition of their patrimony with the assistance of the greatest\npossible knowledge of the good or service to be acquired, the protection of health\nwhich is involved, the ordering and systematization of the reciprocal\nrelationships between the interested parties, the alignment of international\ncommercial practices with the domestic system, and finally, the greater protection of the\ninhabitant's functioning within means of subsistence.\" From the foregoing,\nit is inferred that in the consumer relationship between the merchant or provider and the\nconsumer, due to the natural dynamics of commerce, a inequality exists between\nboth, and the consumer, in most cases, in this natural\nrelationship, is the weaker party. Hence, the Political Constitution balances\nthe dynamics of burdens of that consumer relationship, granting the\nconsumer a series of fundamental rights that protect them from their\nnatural inequality with the merchant or provider. As a derivation of this, the\ninterpretation and application of the rules, in case of doubt, in\nconflicts of this nature, must favor the weaker party, that is, in thesis\nof principle, the consumer. Hence, in those scenarios, the merchant or provider\nhas an obligation to demonstrate that they have fulfilled their obligations in the\nconsumer relationship and that they have respected the fundamental rights of the\nconsumer; otherwise, they must answer for the infraction of\nthese rules as determined by the infra-constitutional norms. Now, as article\n46 of the Constitution states, it is the Law that will be responsible for\nregulating those rights, which is concretized in the Law for the Promotion of Competition and Effective\nDefense of the Consumer, No. 7472. Said legal body establishes, broadly speaking,\nthe rights that attend the consumer, a topic developed in canon 32,\nas well as the duties of the merchant, established in canon 34. It is clear,\ntherefore, that the infringement of the merchant's duties generates, as a direct effect and\nas a natural and logical consequence, the violation of the consumer's\nrights, constitutionally and legally protected in the terms already set forth.\nThis then supposes the emergence of a system of liability of the\nmerchant or provider towards the consumer, to repair the damages and losses\ncaused to the latter. Consequently, if there is a violation of\nthe constitutional and legal rights of the consumer by the\nmerchant or provider, the latter must repair the harmful effect caused\nto the consumer, under the strict liability regime (régimen de responsabilidad objetiva) that will be explained\nin detail and precision in the following consideration of this judgment.\n\nVII.- On the legal liability regime applicable to electronic commerce relationships of a banking\nnature. A relevant aspect within this process is the determination of the\nlegal regime applicable to this type of commercial linkage such as the one that\nhas arisen between the parties. Regarding legal regulations that the checking\naccount contract establishes in the Commercial Code, this Court has been\nclear, a thesis it upholds as no legal arguments have been provided to justify\na variation in this position. Checking account contracts with\nelectronic internet banking services being one more variation of economic consumer\nrelationships, in this case, of banking and financial services, the\nliability rules established by the Law for the Promotion of Competition and Effective\nDefense of the Consumer are of total and full application. Even considering that in the current context,\nelectronic accounts presuppose, as a basic criterion, the existence of a\nchecking account contract, thus being considered an additional service to this\nlatter, or rather, an updated variation, the fact of the matter is that in\nthe conceptual context developed in article 2 of Law No. 7472, that\nlinkage fits fully within consumer relationships insofar as it\ninvolves a party that is a merchant or provider of financial or\nbanking services, which are acquired by a client who constitutes the final\nrecipient of that market offering. It is a commercial adhesion contract\nwhose object is the offering of banking services for the administration of\nfunds through a checking account, by virtue of which the Bank receives from the\nclient funds or other creditable instruments immediately\nor as a deposit, or the granting of credit, to draw\nagainst it. It is evident that when the account permits electronic\ntransfers, as a derivation of technological modernity, the reference to the concept of checks (as a\nphysical document) is not applicable. Precisely,\nthe application of dematerialized mechanisms in commerce for the\navailability of those funds and accounts, dispensing with the issuance of physical\ndocuments, is today one more offering within the cited checking\naccount contract, which is highly attractive to the consumer, given the agility\nand simplification of transactions, which demands security mechanisms for\nmonetary movements to fulfill the duty of efficient and diligent\ncustody of the client's funds. From this angle of examination, the rules that\nrefer to the contractual typology of the bond do not detract from or eliminate that it\nis a consumer relationship, therefore also regulated by\nthe provisions of Law No. 7472. Hence, there is no doubt that the\nlegal liability regime applicable to the present matter is numeral 35 of the\ncited Law for the Promotion of Competition and Effective Defense of the Consumer. Thus, by way of\nreference, this Section has stated it in the aforementioned ruling No. 2758-2010, in which, on the\nspecific topic, it was noted: \"From those resolutions, the unanimous criterion can be extracted\nthat the strict liability regime that must be applied in matters such\nas the present one is that provided in articles 31 and 35 of the Law for the Promotion of Competition and\nEffective Defense of the Consumer, this because we are in the presence of a\ncommercial consumer relationship, in which the Banco Nacional de Costa Rica, despite\nbeing a public administration, provides a commercial Internet Banking\nservice, which is qualified as a private mercantile\nservice, for which reason said banking institution is not acting within its\nadministrative powers, but as a subject of private law and must\nbe regulated by the respective regulations, such as the Law for the Promotion of Competition and\nEffective Defense of the Consumer. Likewise, the plaintiff company comes in\nits capacity as a client of the defendant bank, thus configuring the essential\nelements for the existence of a commercial consumer relationship that is governed\nby the rules of the cited Consumer Protection Law. (...) Furthermore, from\nwhat has been said by this same Contentious-Administrative Court, this\njurisdictional body considers that the Law for the Promotion and Defense of the\nConsumer regulates a special legal regime, which must be applied over the general legal\nregime, as would be in this case the commercial regulation on checking accounts, or\non contractual matters, so from this simple perspective, the\nrules of strict liability regulated by the cited Consumer\nProtection Law must be applied. Likewise, and under the same arguments\nindicated previously, this Court does not agree with the allegation of the\ndefendant party to the effect that the rules of the Commercial Code should be applied,\nspecifically with regard to checking account contracts, since,\nas has been set forth, consumer protection regulation is a\nspecial regime that prevails over the general regime of the Commercial\nCode.\"\n\nVIII.-\nBackground from the First Chamber of the Supreme Court of Justice in similar cases. With\nthe foregoing having been set forth, it is worth bringing up what was resolved by the First Chamber in\njudgment number 300-2009 of eleven twenty-five in the morning on\nMarch 26, 2009, analyzing the subject matter of\ncontroversy, it noted: \"III.- Strict\nliability for risk in consumer matters. Regarding\nliability, two major branches can be identified: a subjective one, in\nwhich the concurrence, and consequent demonstration, of fraud or fault\non the part of the author of the harmful act is required (e.g., cardinal\n1045 of the Civil Code), and another objective one, which is characterized, in\nessence, by dispensing with those elements, the imputation of the damage being\nthe central axis upon which the duty to repair is erected. As an example of\nthe foregoing, there is numeral 35 of the Law of Effective Defense of the Consumer, where\nthe merchant, producer, or provider shall respond for those damages derived\nfrom the goods transacted and the services provided, even when negligence,\nimprudence, lack of skill, or fraud is not detected in their actions. Likewise, it is important\nto consider, due to its influence on the evidentiary matter, that the\ndetermining elements for the emergence of civil liability, be it\nsubjective or objective, are: a harmful conduct (which can be active or\npassive, lawful or unlawful), the existence of damage (that is, an injury to a\nprotected legal right), a causal nexus linking the two\naforementioned, and in most cases the verification of an attribution criterion, which\nwill depend on the specific legal regime. Regarding causality, it is necessary\nto indicate that it involves a case-by-case assessment made by the judge in\nwhich, based on the facts, they determine the existence of a relationship between the\ndamage claimed and the conduct deployed by the economic agent. Although\nvarious theories exist on the matter, the one considered most consistent\nwith the Costa Rican regime is that of adequate causality, according to which there is\na link between damage and conduct when the former originates, if not\nnecessarily, at least with a high probability according to the\nspecific circumstances affecting the matter, from the latter (in this sense, one can\nsee, among others, resolutions 467-F-2008 of 2:25 p.m. on\nJuly 4, 2008, or 1008-F-2006 of 9:30 a.m. on December\n21, 2006). At this point, it is important to clarify that the verification of\nexempting causes (fault of the victim, an act of a third party, or force\nmajeure) acts upon the causal nexus, ruling out that the conduct\nattributed to the defendant party was the producer of the injury suffered. With regard\nto the different attribution criteria, for the purposes of the\npresent case, the theory of created risk is of interest, which was included,\nexpressly, in the Consumer\nDefense Law. The objective scheme adopted by the law,\nas well as the application of the cited attribution criterion, are inferred from the\nsimple reading of the rule in question, which stipulates (...) Carrying out a\ndetailed analysis of the rule just transcribed, a series of\nconditioning elements for its application are inferred. First, and from the level of\nsubjects, that is, who causes the damage and who suffers it, the application of\nthis liability regime is contingent upon\ncertain qualifications concurring in them. Thus, regarding the former, it is required that they\nbe a producer, provider, or merchant, whether these be natural or\nlegal persons. For its part, regarding the latter, the injury must be inflicted on\nsomeone who participates in a legal relationship where they are placed as a consumer, in\nthe terms defined in the legal body of reference and developed by\nthis Chamber. It is required, then, that both parties form part of a consumer\nrelationship, whose object is the potential acquisition, enjoyment, or use of a\ngood or service by the consumer. The Bank acts in the exercise of its\ncapacity under private law, as a genuine public enterprise, and in said\ncondition, it offers a service to its clients, therefore, since there is a\nconsumer relationship, the particular case must be analyzed under the scope of\ncoverage of numeral 35 under discussion. Likewise, from the precept under study it is\ninferred, secondly, that the legislator established a series of\nattribution criteria upon which the strict liability\nregulated by this cardinal can be imputed, among which is the already cited\ntheory of risk. Thus, this serves as a factor to assign liability to\nthe subjects referred to. In essence, this theory postulates that\nwhoever creates, exercises, or benefits from a lawful lucrative activity that\npresents potentially dangerous elements for others, must also\nbear its inconveniences (ubi emolumentum, ubi onus, which can be\ntranslated as where the emolument is, there is the burden). From the preceding\naffirmation, two characteristics can be inferred: on the one hand, that the risk\ncomes from an activity of exploitation; and on the other, since it is performed by\nthe human being, so-called acts of nature are excluded. Concomitantly,\nit is important to make some clarifications regarding the risks suitable for the\ngeneration of liability, since not every risk implies the emergence,\nautomatically, of the latter. Currently, life in society offers a\ncountless number of risks, of different degrees and scopes, to the point that one can\naffirm that it is impossible to find a daily activity that is\nexempt from them. Along these lines, the interpretation of the rules cannot start\nfrom an absolute and total aversion to risk, which, as indicated, forms\nan integral part of societal coexistence and the technological advances\nintegrated into it. The foregoing leads to affirm that, for the emergence of the\nduty to repair, the risk associated with the activity must present a\ndegree of abnormality, that is, that it exceeds the margin of tolerance that is\nadmissible according to the rules of experience, which must be\nanalyzed, on a case-by-case basis, by the judge. The second point that requires\nsome type of commentary concerns the subject who becomes obligated by virtue\nof an activity considered dangerous. As already indicated, the\nattribution criterion is, precisely, the created risk, which suggests that the\nperson to whom the damage is imputed must be in a position of control\nregarding it, that is, they must be the one who develops the activity or assumes the\npossible associated negative consequences, receiving a benefit from it. This\nbenefit may be direct, which can be identified, among others, with the income\nor emoluments obtained as consideration, or indirect, when\nthe advantageous situation occurs reflexively, which could be the case of\nalternative mechanisms that tend to attract consumers, and consequently,\nresult in an economic profit for the offeror. It is important to mention that\nin an activity it is possible to find different degrees of risk, which\nmust be managed by that subject who benefits from it, a\ncircumstance that exerts a direct influence on the evidentiary burden that corresponds to them,\nsince it is relevant for determining the imputation in the specific\ncase. The foregoing, together with the existence of exempting causes, demonstrates\nthat the legislation under discussion does not constitute an automatic patrimonial\ntransfer.\"\n\nIX.- Scope of the liability regime regulated in Law No. 7472. It is clear,\nthen, that the liability rule applicable to the case is the aforementioned ordinal 35 of\nLaw No. 7472, which in its\nliteral wording states: \"ARTICLE 35.- Liability regime.\nThe producer, the provider, and the merchant must respond concurrently and independently of\nthe existence of fault, if the consumer is\nharmed by reason of the good or the service, by inadequate or\ninsufficient information about them, or by their use and risks./ Only one who\ndemonstrates that they were extraneous to the damage is freed from liability./ The legal representatives of the\nmercantile establishments or, as the case may be, the persons in charge of the business are\nresponsible for their own acts or deeds or for those of their dependents or\nauxiliaries. The technicians, those in charge of preparation and control,\nrespond jointly and severally, when appropriate, for the\nviolations of this Law to the detriment of the consumer.\" The correct understanding of the rule\nallows concluding on the objective nature of this\nliability regime, which, as such, dispenses with the consideration of subjective\nfactors, such as fraud or gross fault. Second, it is necessary to prove\nthe existence of harmful conduct, whether active or by omission;\nthis means that there must be a\nviolation of consumer rights or of their obligations on the part of the merchant or provider. It is clear\nthat for the imputation of liability to be possible, the\nexistence of an effective, assessable, and individualizable damage must be demonstrated,\nthat is a consequence of the merchant's (presumed responsible) conduct. This\nimplies the proof of a causal nexus between that injury and the\nbehavior of the service or goods provider. Now then, within the\ncontext of the legal regime applicable to the case of this type of consumer\nrelationship, numeral 35 of\nLaw No. 7472 establishes the possible release from\nliability for one who demonstrates extraneousness to the\ndamage. By supplementary application of article 190 of the General Law of\nPublic Administration (in accordance with the remission established by canon 71 of the Law for the Promotion of Competition and\nEffective Protection of the Consumer), the exempting causes of liability\nprovided for therein are fully applicable to this matter. Of course, in accordance\nwith the dynamic burden of proof, it corresponds to the one who intends to be freed from\nan obligation to prove the liberating, impeditive, or modifying facts\nof the right intended to be enforced against them. On the topic of the burden of\nproof in this type of process, consideration IV of\njudgment 300-2009 of the First Chamber of the Supreme Court of\nJustice can be seen. Thus, it is decisive to establish in this process the\nconvergence of the various referenced scenarios that give rise to the\nstrict liability of the banking entity, as the plaintiff alleges, or\nif, on the contrary, some of the exempting causes of that liability have been\nconfigured that allow the Bank to be considered extraneous to the damage claimed in this venue.\n\nX - Analysis of the specific case. On the strict liability of the Banco Nacional.\nProof of damage and causal nexus. In the case, it has been\nestablished as proven that the company Bahía Pez Vela Administration\nS.A. has two checking accounts with the Banco Nacional de Costa\nRica, number 100-01-015-006077-5 in colones and number 100-02-015-600387-8 in\ndollars, and that in these, during the period between March 10 and 14,\n2008, a series of debits were made through electronic\ntransfers, for a total of forty-two transfers in favor of various\naccounts belonging to other clients of the same defendant Bank (see detail\nin the report of the Security Supervisor of the defendant Bank visible at folios 1\nto 4 of the administrative file), for a total, according to said report, of\n¢19,500,000.00 (nineteen million five hundred thousand colones). As indicated,\nthe debits were made from IP addresses within the Country, on\nmachines not linked to the defendant Bank itself and which, the plaintiff\nparty denies having authorized, since both before the same banking institution\nand before the Judicial Investigation Organization, it stated that it was the\ncompany's accountant who noticed the missing funds when consulting the\ninternet system for the purposes of carrying out some operations, which is why, on March 14, 2008 itself, it proceeded to notify\nthe Bank, requesting the respective investigation. As a result of the\ncomplaint filed by the representative of the affected company, the\nSecurity Supervisor of the Guanacaste-Puntarenas Regional Bank in official letter BRGP-005-2008 of April 7, 2008, among his\nconclusions, indicated: \"... given that in the transactional record that\nidentify the account holder as the author of the suspicious transfers\nreported, the data identifying the account\nholder as the author thereof appear. Which reflects that what occurred does\nnot stem from a violation of the bank's security systems, but from a\nuser failure. Therefore, it is recommended, subject to\nyour better judgment, to decline the present administrative claim,\nrejecting in all its extremes the pretension for reimbursement of the funds...\n\" (folio 1 of the administrative file). Based on\nthat, the Director of the Guanacaste-Puntarenas Regional Banking Division of the Banco Nacional de\nCosta Rica, through official letter BRGP-142-2008 dated April 9, 2008, informed Mr. Brenes Cabalceta\nabout the investigation carried out in the reported case; among other things,\nhe indicated that the movements were not made from any machine\nrelated to the Bank and that according to the IP addresses from which they\nwere executed, they are services provided by ICE, Racsa,\nCable Amnet, and Cable Tica, and therefore it does not stem from the\nviolation of the bank's security systems, but from a user failure,\nfor which reason the claim was rejected (Folios 5 to 7 of the\nadministrative file). In response to this, the representative of the company\nBahía Pez Vela Administration S.A. filed, on April 22,\n2008, appeals for revocation and appeal in subsidy against what was\nresolved in official letter BRGP-142-2008, alleging that the\ncompany was the object of an action by third parties who, abusing the electronic\nfund management system held by the Banco Nacional (Folio 11 to 20 of the\nadministrative file). Both appeals were rejected, the\nrevocation in official letter BRGP-163-2008 of April 30,\n2008, and the appeal by the General Board of Directors\nin article 10, of session No. 11,497 of August 26, 2008, arguing that the patrimonial damage\ncaused did not occur due to\nconduct deployed by the Bank, but due to the negligence of a\nrepresentative or authorized person on the account, who must have revealed the data\nnecessary to access the account and make the money\ntransfers from the accounts to various persons (Folios 21 and\n23, respectively, of the administrative file). Despite the exhaustion of the\nadministrative route, the representative of the affected company, on July 28, 2009,\nagain filed the administrative claim before the Liberia branch of the\nBanco Nacional de Costa Rica, requesting the payment of $40,000 that he indicated were\nsubtracted from his accounts (Folio 40 and 41 of the main file), and that given\nthe omission of a resolution, on January 8, 2010 (Folio 73 of the\nmain file), the Bank was urged to issue the respective resolution of his\nclaim, without obtaining a result. From the factual picture described\nabove, this Court clearly extracts that there has\nbeen a consumer relationship between the Banco Nacional and\nthe plaintiff company, by which the\nprovisions of article 35 of\nLaw No. 7472 are applicable to the case, as has been\nindicated. Furthermore, it has been\npossible to verify damage to the rights of the\nconsumer that is concretized by the risk produced by the use of the\ntechnological platform of the internet banking\nservice offered by the banking entity, a damage occurring\nin the plaintiff's patrimonial sphere, consisting\nof the unauthorized subtraction of money from their accounts, as determined in\nthe study conducted by the Bank on the occasion of the transfers made\nbetween March 10 and 14, 2008, from the dollar and colon accounts of\nthe plaintiff company here. Although the defendant Bank attempts to indicate that the\nresponsibility is not theirs, the truth is that the injury suffered must be considered\nas a consequence of the lack of implementation of adequate security\nmechanisms for the use of electronic transfer\nservices enabled in internet banking, a service offered by the Banco Nacional de Costa\nRica, as in this case, to the company Bahía Pez Vela Administration\nS.A. Thus, the causal nexus that is required to be able to impute liability in this type of\nsituation is manifest. As\nindicated, it is worth\nhighlighting that the representative of the affected company, upon learning of the\nsubtractions, proceeded to report it both to the Bank that provided the\nservices, as well as to the police authorities, in\nthis case the Judicial Investigation Organization, both on March 14,\n2008, with the operations improperly made to their accounts having been\nbetween March 10 and 14 of that year, which demonstrates the\nprompt attention of the affected party.\n\nX I. Analysis of the existence of exonerating causes in the case. As indicated above, it is the provider or marketer of the Internet Banking service, in this case Banco Nacional de Costa Rica, that could free itself from its strict liability (responsabilidad objetiva) derived from the application of Article 35 of Ley 7472, only when it proves (since it is its burden of proof) that the harmful result was foreign to it, meaning that the case involved the fault of the victim, an act of a third party, or force majeure. The bank alleged, even as a substantive defense, the concurrence of fault of the victim, and as a consequence thereof, the participation of third persons. Indeed, the position taken by the Bank when answering the complaint is supported by the dissenting vote of Judge Palacios García to judgment 910-2010 of Section IV of this Court, in which, among other aspects, it is determined that regarding the obtaining of the keys and passwords necessary to carry out the transactions, it is necessary to determine whether this was due to the lack of skill of the bank or its employees, or whether a third party used computer means to obtain directly from the client the necessary data to access the system. However, this panel of the Court maintains its position that the burden of proof in this type of case continues to lie with the banking institution; hence, if it maintains, as it does in this case, the idea of the existence of a suppression of its liability either due to the client's own intervention who carelessly left their data in the hands of third parties, or that the bank itself had no liability, these are aspects that, for the purpose of its exoneration, it must prove in the record. In this regard, it should be noted that the answer to the complaint does not delve into the matter, and refers to the investigation report produced on the occasion of the incident that occurred to the plaintiff company, making it necessary to analyze what is provided therein. Thus, in official communication BRGP-005-2008 of April 7, 2008, Mr. Gilberth Marchena Viales, Security Supervisor of Banco Nacional de Costa Rica, when analyzing the case, refers to the fact that in the institution's internal regulations and in the signed contract, the client undertook to keep their identification documents, such as the password, the user code, and other personal data necessary to access the computer system, but the truth is that at no point is any reason, circumstance, or other data identified so that it can be concluded in a consistent, concrete, and determined manner that employees or representatives of the affected company indeed committed, by action or omission, careless use of the identification documentation to use the system; they only start from an assumption, derived, in their understanding, from the fact that the transactions did not originate from any machine of the Bank, nor from its employees, and that the IP addresses used correspond to individuals foreign to the institution. This derivation cannot be taken into account in a case such as the one before us to transfer liability to the client or a third party, since the data with which the unauthorized transfers were made could very well have been obtained from the bank's own records due to a lack of controls in the computer system, which is not ruled out at any time by what is indicated in the aforementioned investigation report, as it is well known that so-called \"hackers\" could have perfectly intruded into the systems and obtained from there the necessary data to have carried out the transactions that ultimately affected the accounts that the company Bahía Pez Vela maintains with the financial institution. In fact, as indicated, the report is not conclusive in that regard, but rather starts from assumptions; even when the appeal filed in this case was resolved, the General Board of Directors of Banco Nacional de Costa Rica maintained the conjecture, since in article ten of session 11497 of August 23, 2008, it affirmed that: \"...the patrimonial damage caused to the appellant did not occur due to conduct deployed by Banco Nacional de Costa Rica, but rather due to negligent conduct carried out by a representative or person authorized to access the account, which ultimately resulted in the transfer of money to the accounts of various persons...\" That is, without any proof, the Bank, in order to free itself from liability, asserts that it was the representatives or workers of the affected company who, through \"negligence,\" revealed the data. It is insisted, the Bank cannot merely indicate that it has managed the data well internally and, without further evidence, simply state that if it was not the institution, the client must be responsible, an argument that is completely devoid of probative force and must therefore be dismissed as an element to be taken into account in the possible exoneration of the strict liability that arises from these cases, since what is indicated in that manner would not have the merit to be taken as reliable proof of its computer operations without breach, much less to impute a fault to others without having support for it. Indeed, a thorough analysis of the various pieces of evidence in the record does not allow concluding that there were imprudent or negligent behaviors by the account holder allowing it to be assumed that they made relevant information for accessing their accounts known to third persons. Furthermore, from the technical investigation that was added to the case file, there is no accreditation that the plaintiff had yielded their sensitive data for the completion of the transfers object of the dispute. Therefore, the concurrence of fault of the victim cannot be inferred in this case for not having been diligent in the custody of the means of access to the Internet Banking tool (sensitive data in their possession), and moreover, the Bank could not demonstrate in this proceeding that the damage was foreign to its sphere of action and foresight. Nor has it been possible to prove that the bank's security systems functioned adequately or that there was no failure in the security systems of the defendant banking entity. On the other hand, the necessary convincing evidence was not provided to prove the act of a third party as a cause for excluding the Bank's liability. Although it is detected that the transfers were made from IP addresses located in the country, the truth of the matter is that, at its core, it is insisted, the defendant entity did not prove that its security systems had not been breached, such that there was a level of security and minimal risk through the use of electronic services. It could not be sustained that the burden of proof regarding the vulnerability of those mechanisms or the computer security system rests on the plaintiff, since to the contrary, its evidentiary burden must be directed at demonstrating the existence of one or several circumstances that prevent the arising of the oft-mentioned civil liability, which by law rests on that banking institution. Thus, it would be unthinkable to attempt to shift that burden of proof so that the user of the banking services offered by Banco Nacional de Costa Rica must know in detail all the security systems of that bank, and from there, also demonstrate the existence of any breach. Such a position does not imply the impossibility of demonstrating the existence of fault of the victim or the act of a third party within the framework of electronic banking commerce. It is worth noting that it is the defendant who designs and conditions access to the systems used within the framework of the tool called Internet Banking, which is why it has the possibility of establishing as many security systems as it deems appropriate in order to guarantee that transactions are made by its client, and not just by someone who has at their disposal sensitive data of that user. In this sense, it is the banking entity, which profits from the financial services offered, that must ensure the use of computer and administrative systems that, from a legal standpoint, allow for the certainty of accreditation of the user's physical identity, for example, the mandatory establishment of OTP devices, or even, considering within its administrative autonomy, establishing the use of devices that reduce risks and prove the client's identity with a greater degree of certainty, such as biometric tools, this in order to have systems that allow for the pre-constitution of evidence. In this direction, the First Chamber of the Supreme Court of Justice has considered: \"Notwithstanding the foregoing, the defendant financial entity must take into account that its essential function is financial intermediation, which includes the attraction of funds from public savings, a concept that implicitly carries their custody, both from a physical and a corresponding electronic record point of view. There is no doubt that it is subject to an unavoidable obligation to guarantee the security of transactions carried out, whether at the teller window or through any other means made available to clients, which must necessarily encompass the use of all those available mechanisms that allow it to have a greater degree of certainty regarding the identification of persons who are authorized to carry out electronic transactions from the accounts. The liability attributed to the Bank is based not on the theft of money by a third party, but on the existence of a risk, as set forth in Considerando III, in the very operation of the service it offers, which allows the origin of the damage to be attributed to the operation of the service. The foregoing, despite having mechanisms that allow for greater security. (...) At the end of the day, banks, and the defendant is no exception, safeguard and administer, among other things, the property of others; and not just any property, but public funds. Thus, it is liable not only for the strength of its internal systems, but also for the security of whoever, to arrive there, uses the only possible channels that the Bank itself knows and recognizes as risky. And it is liable not insofar as they are foreign, but insofar as they constitute the means it directly uses for the provision of the service. As prescribed by numeral 35 of the Ley de Protección al Consumidor, there has been an injured party due to the service, which, when used (and in view of its risky nature), produced a significant injury to the party appearing in the proceeding as the plaintiff. (...) The means of accessing the Bank's platform is not, therefore, an external source of risk, but an instrument consubstantial to the service it provides; if you will, it forms an intrinsic part of the activity, which although accessory to the intermediary's activity, is essential. Hence, the guarantee mechanisms for the client –user– must occur not only within the computer walls of the Bank itself, but also on the path to access it as part of the service. Not in vain, the Financial System has, in general, focused on the implementation of double identification mechanisms, the improvement of passwords, and, in general, the use of recent systems such as the use of tokens, changing passwords, keys with special devices, among others.\" (Resolution No. 300-2009 cited above) Said reference makes it evident that the vulnerability of the system is not a matter that the account holder must prove; on the contrary, given the activity it carries out, the profit it obtains from that commercial line, and because it constitutes a means that allows for the streamlining of transactions derived from the checking account, a contract that involves the custody of public funds, it is the financial entity that must prove that its security systems have an acceptable degree of security and that, in each specific case, they were not breached. In the present case, it was precisely the deficiency of security mechanisms that caused the materialization of a damage against the plaintiff company, consisting of the theft of an amount of money, which has been recognized by the Bank as ₡19,500,000.00 (nineteen million five hundred thousand colones), but for the plaintiff it is $40,000.00 (forty thousand dollars), the product of various transactions made in favor of other account holders of the same Banco Nacional de Costa Rica. This implies a damage from which the banking entity has not been able to dissociate itself, as it has not been able to prove that the damage was foreign to it or the concurrence of any of the exonerating causes that would allow it to free itself from the strict liability that prevails in matters of consumer relations." }