Clave legal | Culpa grave en casos de fraude bancario.

Resumen: en un caso de fraude bancario, la Corte Suprema, con fecha 5 de febrero de 2026 dejó sin efecto una sentencia en la que se había imputado culpa grave al cliente conforme a la Ley 20.009, señalando que la sola entrega de información personal a terceros no basta para eximir al banco de su responsabilidad, especialmente cuando las transferencias fraudulentas requieren la activación de mecanismos bajo control del banco. De esta forma, una eventual negligencia inicial del cliente no se extiende automáticamente a transferencias posteriores si la entidad financiera no acredita haber cumplido con sus obligaciones de seguridad.

COMENTARIO DE JURISPRUDENCIA

El solo hecho de entregar información a terceros ajenos, no necesariamente constituye culpa grave ni excusa a los bancos de sus obligaciones de seguridad, de acuerdo a la ley N°20.009.

Por: Pablo Ferrerra Encina

Con fecha cinco de febrero de dos mil veintiséis, la Corte Suprema acogió un recurso de queja en la causa Rol N°18.161-2024 en contra de dos Ministras de la Corte de Apelaciones de Santiago y un Fiscal Judicial, que habían acogido un recurso de apelación presentado por el Banco Crédito e Inversiones, revirtiendo el fallo del Juzgado de Policía Local de La Reina y acogiendo la demanda en virtud del artículo 5° de las Ley 20.009, argumentando que la demandada había actuado con negligencia grave.

La sentencia en comento se refiere a un caso de fraude bancario, donde el día 22 de junio de 2021, la representante legal de la empresa Constructora Mafero Ltda. recibió un llamado telefónico de una persona que decía ser un ejecutivo del Banco de Chile diciéndole que estaban realizando una campaña conjunta con el Banco Crédito e Inversiones (banco de la empresa Constructora Mafero Ltda). Señala que esta persona le pidió que confirmara información confidencial a la que solo el banco tenía acceso, como su nombre, RUT, dirección, entre otras. Después de confirmar toda esa información, es que esta persona le pidió que entregara el número de serie de su dispositivo multipass, limitándose la representante solamente a entregar los últimos tres números de aquel.

Posteriormente se realizaron tres transferencias desde la cuenta de Constructora Mafero Ltda. a las 12:01, 12:40 y 12:59, por lo que la empresa informó al Banco Crédito e Inversiones de lo ocurrido, objetando dichas transferencias.

Señala la empresa que no recibió un correo electrónico del banco informándoles de las transferencias, ni se le envió una tercera clave para la creación de una nueva cuenta, como tampoco fue alertado de transacciones sospechosas. El banco restituyó la suma correspondiente a 35 Unidades de Fomento que ordena el artículo 5 de la Ley N°20.009, para posteriormente solicitar la restitución, alegando que la demandada actuó con culpa grave de acuerdo a lo establecido en la Ley N°20.009.

En primera instancia, el Juzgado de Policía Local de La Reina rechazó la demanda en todas sus partes. Como ya se adelantó, la Corte de Apelaciones de Santiago revirtió el fallo del Juzgado de Policía Local de La Reina argumentando que el hecho de que la demandada le haya proporcionado los últimos dígitos de su dispositivo multipass a una persona que decía ser ejecutivo de un banco distinto del suyo dejaría en evidencia el descuido de la demandada.

Frente a esto, la demandada presentó un recurso de queja solicitando que se revoque la sentencia y se rechace parcialmente la querella y demanda interpuesta en su contra, solo en relación a las transferencias hechas a las 12:40 y 12:59.

Como ya se mencionó, la Corte Suprema acogió el recurso. Argumenta su decisión en que los bancos tienen, dada la confianza que se les otorga al celebrar un contrato de cuenta corriente, ciertas obligaciones especiales de las que no puede desatenderse, comprendidas en la ley 20.009. Estas exigencias, además, se condicen con la regulación sectorial establecida en el Capítulo 1-7, punto 4.2 de la “Recopilación de normas de la Superintendencia de Bancos e Instituciones Financieras, actual Comisión para el Mercado Financiero”, normativa que establece, entre otras cosas, la reserva de la información proporcionada por el cliente, así como medidas de seguridad que permitan acreditar que quien realiza transferencias electrónicas sea, efectivamente, la persona autorizada para aquello.

Al analizar el fallo recurrido, la Corte Suprema establece que este habría tenido por probada la negligencia grave de la empresa demandada basándose únicamente en la declaración de la representante de la misma, que reconoce haber entregado datos personales a una persona que señalaba ser ejecutiva de un banco distinto al suyo. La Corte Suprema indica que no se apreció la circunstancia de que, de haber el banco cumplido sus deberes de seguridad, los terceros no habrían obtenido la información personal de la representante que la indujo a entregar los últimos tres dígitos del número de serie de su dispositivo multipass.

Además, señala que no considera el fallo recurrido el hecho de que la representante solo entregó estos tres dígitos, circunstancia que no permite comprender de qué forma se realizaron las transferencias, pues estas no requieren del número de serie, sino de los números aleatorios que el dispositivo arroja cada vez que se pretende hacer una transferencia. Incluso si se acreditara que la representante entregó los dígitos aleatorios, esto no permite a terceros acceder a su cuenta corriente para realizar las tres transferencias, pues para eso requieren de su clave de acceso y, sobre todo, requieren que la representanta haya entregado una segunda y una tercera vez dicha clave aleatoria.

En ese sentido, Corte Suprema destaca que el banco no activó ninguno de los mecanismos de seguridad exigidos por el artículo 6° de la ley 20.009, pues no comprobó “si el destinatario de las transacciones se encontraba registrado por la demandada con antelación ni la oportunidad de tal registro, el límite diario de las operaciones de esta clase para cuentacorrentistas como la demandada, el envío de mensajería electrónica alertando oportunamente de la realización de las transferencias o si medió una modificación previa del número o correo de contacto que el cliente mantiene registrado”.

Así, la Corte establece que difícilmente puede catalogarse de negligencia grave la conducta de la empresa demanda. Señala que, respecto de las dos transferencias que se discuten, inclusive si se entendiese que terceros hubieran accedido a la cuenta a partir de la entrega de los datos personales por parte de la representante de la empresa demandada, clave de acceso y clave multipass, estas dos transferencias posteriores, que requieren de nuevas claves multipass, están dentro del ámbito de control del Banco Crédito e Inversiones, debiendo adjudicarle el riesgo a quien está en mejores condiciones de controlarlo.

Este fallo es relevante por cuanto entrega ciertas luces relativas a lo que se entiende por culpa grave en relación a la ley 20.009. En primer lugar, establece que el solo hecho de haberse proporcionado información personal por parte del cliente no constituye culpa grave por sí mismo, es necesario analizar las condiciones en las que se produce dicha circunstancia, especialmente si se ven comprometidos deberes del banco como lo son el deber de seguridad al permitir a terceros el acceso a información con la que solo el banco podría haber accedido.

Ahora, lo más interesante del fallo es aquello referido a las transferencias posteriores. Lo que la Corte Suprema está señalando, es que determinar que exista culpa grave del cliente respecto de una primera transferencia fraudulenta, no significa que exista culpa grave respecto de transferencias fraudulentas posteriores realizadas desde la misma cuenta. Esto es así pues tanto la Ley N°20.009 en su artículo 6, como la normativa sectorial específica, establecen ciertos deberes de seguridad a los bancos, como lo son evitar que estas transferencias se realicen por personas no autorizadas, así como las obligaciones relativas a la detección de patrones fraudulentos relativos a la conducta de los clientes.

Entonces, este fallo establece que, para determinar la existencia de culpa grave, es necesario verificar que el banco haya cumplido con tener los resguardos necesarios para impedir que se produzcan más transferencias fraudulentas, como lo son las restricciones a transferencias a cuentas registradas recientemente, la regularidad de dichas transferencias o, en general, las obligaciones establecidas en el artículo 6 de la Ley N°20.009 pues, de no cumplirse con aquellas, no se puede establecer la culpa grave del cliente.

Para cerrar, es necesario mencionar la importancia de las claridades entregadas en este fallo. Por un lado, respecto de los consumidores, este fallo les protege, por cuanto establece que no cualquier entrega de información a terceros puede ser considerada una negligencia grave. Además, establece que respecto de transferencias fraudulentas, para determinar la culpa grave del cliente, es necesario analizar cada una de las transferencias en particular, pues si bien la entrega de información puede justificar tanto el acceso a la cuenta del banco como la realización de una transferencia, los mecanismos de seguridad que deben poseer los bancos para evitar fraudes impiden que un primer actuar gravemente culposo pueda ser considerado la causa de transferencias fraudulentas posteriores.

Por otro lado, respecto de los bancos, este fallo también es importante, pues aclara a los bancos los tipos de resguardo que deben poseer: no por el hecho de que el cliente realice una primera acción gravemente negligente, significa que el banco queda liberado de sus obligaciones de seguridad para transferencias posteriores. Esta situación, que parecería gravar a los bancos, puede de todas formas ser beneficiosa por cuanto permite tener certeza respecto de aquellos resguardos que deben tener para poder estar protegidos frente a posibles reclamos de fraude injustificados realizados por sus clientes.