Asistente Jurídico Inteligente
Selecciona un texto en la página o analiza el artículo completo.
MARTHA PATRICIA GUZMÁN ÁLVAREZ
Magistrada ponente
STC5027-2024
Radicación n° 11001-02-03-000-2024-01318-00
(Aprobado en sesión de treinta de abril de dos mil veinticuatro)
Bogotá, D.C., treinta (30) de abril de dos mil veinticuatro (2024).
Decide la Corte la acción de tutela promovida por el Banco Davivienda SA contra la Sala Civil Familia del Tribunal Superior de Ibagué, trámite al que fue vinculado el Juzgado Segundo Civil del Circuito de Melgar y, citadas las partes e intervinientes en el proceso de responsabilidad contractual No. 734493103002-2021-00091-00.
ANTECEDENTES
1. La entidad solicitante invocó la protección del derecho fundamental al debido proceso, presuntamente vulnerado por la autoridad judicial accionada.
Manifestó que la Alcaldía del Carmen de Apicalá presentó demanda en su contra, para reclamar el reintegró de $229’000.202 producto de dos operaciones efectuadas el 17 de junio de 2019 desde el portal empresarial de la entidad bancaria, «con cargo a la Cuenta de Ahorros No. 282674217 migrada a la Cuenta de Ahorros No. 0550446000178306, de su titularidad y las cuales afirmó no haberlas realizado ni autorizado».
Indicó que el Juzgado Segundo Civil del Circuito de Melgar, lo notificó por conducta concluyente y contestó demanda, y adelantado el trámite en audiencia celebrada el 2 de agosto de 2023, profirió sentencia que negó las pretensiones, decisión que recurrió en apelación el apoderado judicial de la demandante y, revocó el Tribunal Superior de Ibagué el 15 de marzo de 2024, para condenarlo a pagar a la Alcaldía del Carmen de Apicalá, la suma de $409’564.195.
Explicó que en el fallo de segunda instancia el accionado incurrió en defecto fáctico, porque anotó que «la entidad financiera, antes que sucedieran las dos transferencias del 17 de junio de 2019, era conocedora de los ataques cibernéticos potenciales que sufría el Municipio de Carmen de Apicalá como cliente de los servicios brindados por Davivienda derivados del contrato de depósito en cuenta de ahorros y el reglamento del portal empresarial» y, no tuvo en cuenta, el correo electrónico que envió al secretario de hacienda el 24 de abril de 2019, en el que le solicitó que certificara si contaba con las herramientas de seguridad como antivirus, antikeylogger, firewalls, y control de navegación para evitar descargas de software malicioso, además que instalara las herramientas denominadas DSB, con lo que desconoció el actuar diligente, cuidadoso y oportuno del banco para evitar posibles y futuros ataques cibernéticos.
Sostuvo que en el fallo de segunda instancia, también incurrió en defecto material, porque según lo dispuesto en los artículo 320 y 322 del Código General del Proceso, el superior solo podía decidir en relación sobre los reparos concretos manifestados por el recurrente, y tuvo en cuenta argumentos que no se formularon con el recurso de apelación como lo alegó al descorrer el traslado de la sustentación, además dio aplicación a la Circular Externa 029 de 2019 que entró en vigencia el 1º de diciembre de 2020.
Expresó que la decisión cuestionada a la par desconoció el precedente, pues argumentó que no encontró configurada la culpa exclusiva de la víctima, por tanto la responsabilidad en la realización de las operaciones fue del banco con fundamento en las providencias SC18614-2016 y SC5176-2020, y en el análisis de responsabilidad que realizó en el fallo, única y exclusivamente tuvo en cuenta la actuación de Banco Davivienda, considerando que, pese a todas las actuaciones negligentes de la Alcaldía del Carmen de Apicalá, no justificaban la conducta del Banco.
2. Con fundamento en esos argumentos, solicitó ordenar al Tribunal Superior accionado, modificar la decisión que adoptó el 15 de marzo de 2024 en el proceso No. 73449-31-03-00-2021-00091-01.
3. Una vez asumido el trámite, se admitió la acción constitucional, se dispuso la notificación a los accionados, así como la citación a las partes e intervinientes en el asunto que originó esta tutela, para que ejercieran su derecho a la defensa.
RESPUESTA DE LOS ACCIONADOS Y VINCULADOS
1. El Tribunal Superior de Ibagué respondió que, de acuerdo con las censuras planteadas por el solicitante, dijo que se atiene a lo consignado en el expediente digital contentivo del proceso declarativo, y las razones jurídicas y fácticas que motivaron la decisión emitida el 15 de marzo de 2024.
2. El Juzgado Segundo Civil del Circuito de Melgar – Tolima, manifestó que se atiene a la actuación adelantada en primera instancia.
CONSIDERACIONES
1. Improcedencia de la acción de tutela contra providencias judiciales.
En línea de principio la acción de tutela no procede contra las providencias o actuaciones judiciales, pues significaría un desconocimiento de los principios contemplados en los artículos 228 y 230 de la Constitución Política, no obstante, cuando los funcionarios judiciales incurran en un proceder abiertamente opuesto al ordenamiento legal, sin ninguna objetividad y, los interesados no cuenten con otro medio de defensa judicial, esta jurisdicción está llamada a intervenir en aras de conjurar o evitar la vulneración de las garantías fundamentales involucradas.
2. La queja constitucional.
En el caso que ocupa la atención de la Sala, el Banco Davivienda SA se encuentra inconforme con la sentencia proferida por el Tribunal Superior de Ibagué el 15 de marzo de 2024 por la que revocó la del Juzgado Segundo Civil del Circuito de Melgar de 2 de agosto de 2023 y, en su lugar lo declaró responsable por las operaciones realizadas desde el portal transaccional el 17 de junio de 2019 y, lo condenó a pagar al demandante el capital de las transacciones realizadas debidamente indexadas, y, según afirmó, en la decisión cuestionada incurrió en una vía de hecho por indebida valoración probatoria, resolvió el recurso con unos reparos que no fueron manifestados por el recurrente y desconoció el precedente.
3. El caso concreto.
Examinados los argumentos de la presente queja y cotejados con las piezas procesales pertinentes, se negará la protección reclamada, porque en la sentencia que es objeto de reproche, no se advierte desafuero susceptible de corrección a través de este mecanismo excepcional.
3.1 La actuación de primera instancia.
En el proceso declarativo No. 002-2021-00091-00 promovido por Alcaldía del Carmen de Apicalá contra el Banco Davivienda SA, el Juzgado Segundo Civil del Circuito de Melgar tras adelantar las etapas propias del juicio profirió sentencia el 2 de agosto de 2023, en la que resolvió declarar probada las excepciones de mérito denominadas, «hecho de la víctima como causa exclusiva del daño y eximente de responsabilidad del Banco Davivienda, las operaciones desconocidas se encuentran ajustadas al perfil transaccional del municipio de Carmen de Apicalá respecto del y uso y manejo cuenta de ahorros no. 282674217 migrada a la cuenta de ahorros no. 0550446000178306 a través del portal empresarial, diligencia del Banco Davivienda y cumplimiento de sus deberes profesionales y, inexistencia de responsabilidad de Banco Davivienda en los hechos que sustentan las pretensiones de la demanda por ausencia de nexo de causalidad» y, en consecuencia, negó las pretensiones y condenó en costas al demandante.
Como argumento de la decisión afirmó que el fraude se originó en el aparato electrónico de la entidad demandante y, no en la plataforma del banco, porque el secretario de hacienda desconoció el reglamento para utilizar el portal transaccional, además estaba demostrado que los computadores del municipio no tenían un antivirus desde el 14 de enero de 2016, ni un software licenciado.
Indicó que la Alcaldía demandante no tenía reglamentadas las operaciones que debía realizar el secretario de hacienda, ni los controles de ciberseguridad, y autorizó a un tercero para administrar la cuenta sin ningún control y quien la manejaba a través de su correo personal, además que no había recibido la capacitación para su manejo, ni para la utilización de las herramientas tecnológicas, lo que constituía una falla del cuentahabiente.
3.2 El recurso de apelación
La decisión fue recurrida por el apoderado judicial del demandante y los reparos concretos a la decisión, fueron que, se negaron las pretensiones por la culpa exclusiva de la víctima sin realizar un análisis integral del material probatorio, ni tener en cuenta la existencia del contrato para el manejo de las cuentas bancarias entre demandante y demandado y, que, el perito en su experticia se limitó a buscar presuntos errores imputables al municipio.
Alegó, además, que no se analizó la respuesta de la Defensoría del Consumidor Financiero de 24 de enero de 2020, que reseñó la existencia de un intento de fraude el 24 de abril de 2019 que generó una alerta por la detección de un programa malicioso, la que se contradijo con la comunicación de 5 de agosto de 2020, en la que la entidad financiera mencionó que el «sistema de alerta del banco» no había detectado ninguna alerta.
No existió prueba que demostrara que el token físico se hubiera utilizado en la operación bancaria, y tampoco se tuvo en cuenta que las transacciones se efectuaron a las 4:00 pm, cuando el reglamento del Portal Empresarial en la cláusula tercera estipulaba que los pagos debían realizase antes de las 3:00 pm y, caso de sobrepasar esa hora, serían enviados al día siguiente.
3.3 La sentencia de segunda instancia cuestionada.
El Tribunal Superior de Ibagué, una vez vencido el término de traslado del artículo 12 de la Ley 2213 de 2022, el 15 de marzo de 2024 resolvió el recurso de apelación, con fundamento en los siguientes argumentos,
Señaló que el demandante reclamó la responsabilidad bancaria «por la sustracción no autorizada en dos (2) transacciones, una con un proceso de pago No 2913411 por la suma de CIENTO OCHENTA Y SIETE MILLONES DE PESOS M/CTE ($187.000.000) y otra con un proceso de pago 291442 por un valor de CIENTO DOCE MILLONES DOSCIENTOS DOS PESOS M/CTE (112.000.202), para una suma total de DOSCIENTOS NOVENTA Y NUEVE MILLONES DOSCIENTOS DOS PESOS M/CTE ($299.000.202), las cuales se realizaron el día 17 de junio de 2019».
Indicó que el Banco demandado en la contestación, afirmó que el Municipio del Carmen de Apicalá era el titular de la cuenta de ahorros Bancafé No. 28267421 migrada a la cuenta Davivienda No. 0550446000178306, «habiendo solicitado para su uso y manejo el servicio prestado por BANCO DAVIVIENDA referente al Portal Empresarial, el cual fue creado el 25 de enero de 2011», que el demandante suscribió el contrato de depósito en cuenta de ahorro con el que le autorizaron el servicio del «portal empresarial» y, que, con la prueba documental, interrogatorios, así como los testimonios recibidos, quedó claro que las transacciones fueron realizada desde el portal empresarial del Banco Davivienda.
A continuación hizo referencia a la naturaleza del contrato de cuenta corriente y de ahorros conforme a los artículos 1382 y 1398 del Código de Comercio, del Estatuto Orgánico del Sistema Financiero y las Circulares Básicas Contable y Financiera, y señaló que esta última, exigía a las entidades financieras «unos altos y especiales cargas o cumplimiento de estándares de seguridad, diligencia, implementación de mecanismos de control y verificación de las transacciones e incluso de seguridad de la confiabilidad de la información y preservación de la confiabilidad», porque, afirmó «es natural que la asunción de tales riesgos no les corresponda a los clientes que han encomendado el cuidado de parte de su patrimonio a tales profesionales, de ahí que sea ellos quienes deban asumir las consecuencias derivadas de la materialización de esos riesgos», y, del acceso a las nuevas tecnología de la actividad bancaria, para lo cual citó jurisprudencia relacionada con el tema.
Explicó que, de acuerdo con esa normativa y jurisprudencia, correspondía resolver si estaba demostrada la responsabilidad contractual imputada al Banco Davivienda y, que, la única causal de exoneración era la culpa de la víctima, por lo que tenía que establecer si las transacciones tuvieron o no origen en la culpa de la demandante o sus dependientes.
Manifestó que la banca era servicio público calificado a nivel constitucional como de interés público, prestado por quienes reciben permiso especial del Estado y, genera especiales cargas para las instituciones financieras, porque la actividad que desarrollan además de profesional, «tiene los rasgos de ser habitual, masiva y lucrativa, requiere de una organización para ejecutarla y del conocimiento experto y singular sobre las operaciones que comprende, así como de los productos y servicios que ofrece al público, razón por la cual los estándares de calidad, seguridad y eficiencia que se le reclaman, son más altos que los exigidos a un comerciante cualquiera».
Expuso que en virtud de la existencia del riesgo y del profesionalismo a cargo del banco, las operaciones debían ser desarrolladas en condiciones de seguridad y transparencia y, que, en ese asunto, la entidad financiera antes de ocurrir las transferencias de 17 de junio de 2019, era conocedora de los ataques cibernéticos potenciales que sufría la Alcaldía Municipal porque en la contestación de la demanda afirmó, «No es cierto que los productos de titularidad del Municipio de Carmen de Apicalá se hayan manejado sin inconveniente alguno, por cuanto, debe tenerse en cuenta que de manera previa a los hechos que nos ocupan en el presente proceso, se presentó un intento de fraude el 24 de abril de 2019 con cargo a la Cuenta de Ahorros No. 282674217 migrada a la Cuenta de Ahorros No. 0550446000178306».
Indicó que una vez ocurrido el primer intento de fraude que, «tenía como destino el depósitos de los dineros materia del ilícito a la cuenta 17849457887 de Bancolombia, cuyo titular era el señor RODRIGO SÁNCHEZ CUELLAR, identificado con la cédula 79692010, y que, conforme al informe de análisis del caso presentado por la Vicepresidencia Ejecutiva de Riesgo y Control Financiera por Davivienda: “Se identificó la presencia de software malicioso (malware) de tipo RAT (Remote Access Tool) instalado en el computador operado por Edgar Gonzalo Sánchez Moreno el día 24 de Abril de 2019, este tipo de malware permite que un tercero no autorizado pueda administrar completamente el sistema de forma remota sin que el usuario se dé cuenta de esta interacción. Una hora después de la instalación del RAT se realizó la instalación de un archivo malicioso llamado proxy8087faus.exe. Posterior a la instalación del archivo proxy8087faus.exe se identificaron archivos potencialmente maliciosos los cuales debido al formateo del sistema no pudieron ser analizados en su totalidad, minutos después se produce una transferencia no autorizada la cual fue bloqueada».
Refirió que ante la presencia del peligro latente de ataques de ciberseguridad «al equipo de sistema que se había destinado por el ente territorial para el manejo de sus cuentas, (…) permitió que dichas cuentas continuaran funcionando con los riesgos que ello implicaba, sin verificar previamente la fuente de dichos ataques, sin activar el cambio de las contraseñas, inspeccionar que el sistema office y Windows estuvieran licenciadas, verificar que los antivirus recomendados hubieran sido instalados, y hubiera activado la información de mensajería y alertas de todas las transacciones que consideraran sospechosas de acuerdo con el perfil transaccional del usuario, lo que nunca aconteció, desatendiendo entre otras obligaciones las contenidas en la Circular Externa 29 de 2014 expedida por la Superfinanciera, que resulta ser relevante para que caso que ocupa la atención a la Sala».
Indicó que la entidad debió observar especialmente, los requerimientos fijados en los subnumerales para el ofrecimiento a los consumidores financieros de la realización de operaciones por Internet,
(…) 2.3.4.9.1. Implementar los algoritmos y protocolos necesarios para brindar una comunicación segura.
2.3.4.9.2. Realizar como mínimo 2 veces al año una prueba de vulnerabilidad y penetración a los equipos, dispositivos y medios de comunicación usados en la realización de operaciones monetarias por este canal. Sin embargo, cuando se realicen cambios en la plataforma que afecten la seguridad del canal, debe realizarse una prueba adicional.
2.3.4.9.3. Promover y poner a disposición de sus clientes mecanismos que reduzcan la posibilidad de que la información de sus operaciones monetarias pueda ser capturada por terceros no autorizados durante cada sesión.
2.3.4.9.4. Establecer el tiempo máximo de inactividad, después del cual se debe dar por cancelada la sesión, exigiendo un nuevo proceso de autenticación para realizar otras operaciones.
2.3.4.9.5. Informar al cliente, al inicio de cada sesión, la fecha y hora del último ingreso a este canal.
2.3.4.9.6. Implementar mecanismos que permitan a la entidad financiera verificar constantemente que no sean modificados los enlaces (links) de su sitio web, ni suplantados sus certificados digitales, ni modificada indebidamente la resolución de sus DNS.
2.3.4.9.7. Contar con mecanismos para incrementar la seguridad de los portales, protegiéndolos de ataques de negación de servicio, inyección de código malicioso u objetos maliciosos, que afecten la seguridad de la operación o su conclusión exitosa. 2.3.4.9.8. Las entidades que permitan realizar operaciones monetarias por este canal deben ofrecer a sus clientes mecanismos fuertes de autenticación».
Señaló que, la entidad financiera demandada no podía asumir una actitud pasiva frente a los consumidores, cuando conocía de la tentativa de fraude de la cuenta de ahorros del demandante, puesto que, por su labor habitual debía conocer el perfil transaccional del cliente en razón a la naturaleza y actividades que ejercía y, resultaba impropio que el banco se limitara a enviar un correo electrónico con algunas recomendaciones de instalación de antivirus, porque era el garante del portal empresarial, siendo de su competencia asumir unos roles efectivos para verificar sus directrices y hacer eficaces los mecanismo de seguridad.
Agregó que la demandada, no adoptó ninguna medida precautelativa para garantizar la integralidad de los depósitos bancarios de su cliente, lo que facilitó que se materializaran unas transacciones por $178’000.000 y $112’000.000 el 17 de junio de 2019, sin exteriorizar ningún tipo de alerta, desconociendo el perfil transaccional, puesto que, las operaciones del secretario de hacienda no superaban el monto de $30’000.000 como lo reconoció el banco.
Manifestó que de acuerdo con la jurisprudencia, la conducta del Banco Davivienda SA fue ajena al profesionalismo, porque con las pruebas «el ataque informático del 17 de junio de 2019 era previsible, (…) puesto que, las condiciones de ambos sucesos presentan coincidencias similares, sumado al conocimiento que previamente tenía el Banco del primer ciberataque, (…) Según la información aportada por el Departamento de Operación de Reclamos Fraude, el 24 de abril de 2019, el Cliente presentó intento de fraude por $102.890.765, mediante una operación de pago a proveedores gestionada en el portal empresarial con destino la cuenta 1789457887 de Bancolombia, esta operación no pudo ser materializada y la herramienta DSB Client, le había arrojado al Cliente un mensaje de aleta (sic) que indicaba la detección de un proceso Malicioso”, lo cual resulta extraño que dicha herramienta no hubiera funcionado para las dos transacciones fraudulentas, máxime cuando en el mismo informe se atesta que: “Según, la información aportada por el Departamento de Monitoreo Fraude Transaccional Canal Empresarial, se evidenció que el Cliente está identificado en el Portal Empresarial con la numeración 93956 y para la fecha de los procesos de pagos a proveedores objetados contaba con el software de seguridad DSB (Detect Safe Browsing)”».
Afirmó que, la ausencia de una conducta activa de la entidad demandada en detener los efectos nocivos, generó el daño al demandante, y la responsabilidad radicó en cabeza del banco porque tenía la guarda y custodia de los depósitos bancarios del consumidor, quien no estaba obligado a asumir el riesgo que le pretendía trasladar, con el argumento que no honró los deberes de custodia de las contraseñas y el token, además, nunca realizó las pruebas de vulnerabilidad del dispositivo utilizado para las operaciones transaccionales, «no promovió ni puso a disposición de sus clientes mecanismos que redujera la posibilidad de que la información de sus operaciones monetarias pudieran ser capturada por terceros no autorizados durante cada sesión, no implementó mecanismos que permitieran a la entidad financiera verificar constantemente que no sean modificaos los enlaces (links) de su sitio web, ni suplantados sus certificados digitales, ni modificada indebidamente la resolución de sus DNS, no contó con mecanismos que hubieran incrementado la seguridad de los portales, protegiéndolos de ataques de negación de servicio, inyección de código malicioso u objetos maliciosos, que afectara en la seguridad de la operación o su conclusión exitosa, y por no generar el sistema de alertas previa a cualquiera transacción, máxime cuando el perfil transaccional del cliente se lo exigían por el monto de las referidas transferencias».
Expuso que, analizadas las pruebas, observó que el ataque informático de 17 de junio de 2019 era previsible, teniendo en cuenta lo ocurrido el 24 de abril de ese año, sucesos con coincidencias similares, sumado al conocimiento que tenía el banco del primer ciberataque, cuando en esa oportunidad las herramientas DBS del cliente arrojaron una alerta y la operación fue frustrada.
Agregó que con la prueba pericial presentada por el banco y la realizada en el proceso, era evidente que,
(…) Se identificó la presencia de software malicioso (malware) de tipo RAT (Remote Access Tool) instalado en el computador operado por Edgar Gonzalo Sánchez Moreno el día 24 de Abril de 2019, tipo de malware permite que un tercero no autorizado pueda administrar completamente el sistema de forma remota sin que el usuario se dé cuenta de esta interacción. Una hora después de la instalación del RAT se realizó la instalación de un archivo malicioso llamado proxy8087faus.exe. Posterior a la instalación del archivo proxy8087faus.exe se identificaron archivos potencialmente maliciosos los cuales debido al formateo del sistema no pudieron ser analizados en su totalidad, minutos después se produce una transferencia no autorizada la cual fue bloqueada”.
“Se identificó la presencia de un nuevo archivo malicioso con el nombre de proxy8090julio.exe, este archivo fue instalado en el sistema a las 05:47:40 del 17 de Junio de 2019, en horas de la tarde se generaron las dos transacciones no autorizadas”.
“Con base en lo anterior se explica el hecho de que las transacciones fueran generadas desde la dirección IP pública de la entidad, ya que el agente externo realizó conexiones remotas desde la ciudad de Bogotá, hecho que se confirma al analizar las direcciones IP con las que interactuaban los proxies maliciosos”.
“Si bien se identificó la presencia de software malicioso, no se pudo identificar la forma en la cual se infectó el computador, para poder establecer como se infectó el computador, sería necesario un análisis de los correos electrónicos recibidos por Edgar Gonzalo Sánchez Moreno en las fechas previas a los dos eventos señalados».
Expresó que las transacciones fueron efectuadas por un agente externo, y el antivirus que la misma entidad recomendó no garantizaba la seguridad de los depósitos, además que la demandante no estaba obligada a asumir los riesgos de una actividad que era responsabilidad de la institución financiera, por lo que el detrimento patrimonial tampoco podía ser atribuido a la parte demandante, y agregó que,
«En ese orden, la causal de culpa exclusiva de la víctima o sus dependientes no se encuentra configurada, pues, si bien es cierto el incumplimiento de las medidas de seguridad de la demandante, aunque potencia la aptitud causal de la omisión del banco, no es en sí la causa determinante del fraude, y si bien produce un riesgo, que en todo caso podía ser neutralizado en virtud de las obligaciones del banco, la verdadera causa del daño es la omisión de los deberes de éste, que habría podido impedir la consumación del fraude si hubiera tomado a tiempo las medidas necesarias y efectivas para prevenir o mitigar la consecución del daño antijurídico».
Enfatizó que la Ley 1328 de 2009, «dispone que el no ejercicio de las prácticas de protección propia por parte de los consumidores financieros no exime a las entidades vigiladas de las obligaciones especiales consagradas en dicho régimen (entre ellas, la de entregar los productos o servicios ofrecidos en condiciones de seguridad y calidad) ni de la responsabilidad que les sea imputable por su incumplimiento, por el contrario la entidad tiene la obligación de emplear adecuados estándares de seguridad y calidad en la prestación de sus servicios atravesó de los distintos Canales de distribución disponible de acuerdo con las instrucciones de la Superintendencia Financiera».
Con fundamento en lo anteriormente considerado, resolvió, revocar la sentencia del a quo para en su lugar, declarar la responsabilidad civil contractual y condenar al banco demandado al pago de los dineros sustraídos de la cuenta de ahorros de la demandante el 17 de junio de 2019, debidamente indexados, y, declaró probada la excepción denominada improcedente reconocimiento de intereses, pretendida por la entidad bancaria.
4. De la razonabilidad de la sentencia cuestionada.
Conforme a lo anteriormente expuesto, no se advierte amenaza o vulneración de los derechos fundamentales invocados frente a la decisión debatida, como quiera que, el Tribunal Superior de Ibagué de acuerdo con la competencia establecida en el artículo 328 del Código General del Proceso, resolvió los reparos manifestados por el apelante, en especial los relacionados con el incumplimiento del contrato existente entre el Banco Davivienda y la Alcaldía Municipal del Carmen de Apicalá para el manejo de la cuenta y de las operaciones realizada a través del portal transaccional.
Lo que evidencia la Sala, es que el litigio estuvo delimitado a la responsabilidad civil contractual del Banco Davivienda SA, por incumplimiento del contrato de cuenta corriente, al permitir las transferencias de fondos a una cuenta externa, desde un perfil que no era el autorizado, en un horario no permitido, pues recuérdese que se efectuaron después del tiempo autorizado, esto es, a las 4:00 de la tarde.
En efecto, el Tribunal Superior analizó los dictámenes presentados y concluyó, que contrario a lo resuelto por el a quo, no existió culpa exclusiva de la víctima porque las operaciones no habían sido realizadas por el secretario de hacienda, pues se comprobó que fueron realizada por un agente externo que realizó conexiones remotas a la IP pública de la Alcaldía demandante.
Además, la experticia señaló, que la recomendación para instalar un antivirus no garantizaba la seguridad de los depósitos, pues este era un complemento que ayudaba a mitigar los riesgos en línea, además la empresa antifraudes como perito, destacó que «Davivienda recomienda el uso de la mencionada herramienta AL MOMENTO DE REALIZAR TRANSACCIONES EN SUS PORTALES, mas no lo promueve como una solución de seguridad integral ni perimetral que pueda reemplazar una solución AntiMalware o AntiVirus integral para la protección de un equipo o estación de trabajo ni tampoco asume responsabilidad de protección alguna».
De igual manera, concluyó que no podía endilgarse al demandante la responsabilidad por el fraude, cuando la entidad bancaria tenía que actuar de acuerdo con el profesionalismo que exigen las operaciones realizadas por el portal empresarial, máxime cuando tenía «la carga de establecer procedimientos para el bloqueo de canales o de instrumentos para la realización de operaciones, cuando existen situaciones o hechos que lo ameriten o después de intentos fallidos por parte de un cliente, así como las medidas operativas y de seguridad para la reactivación de los mismos».
Así las cosas, es claro que el Tribunal Superior de Ibagué resolvió el recurso de acuerdo con los reparos manifestados por el demandante y concluyó, de acuerdo con las pruebas practicadas, que existía responsabilidad del banco cuando omitió actuar de manera diligente para evitar operaciones fraudulentas, e incumplió algunos de los deberes que habían sido establecidos en el contrato celebrado con la demandante.
Analizó el asunto de acuerdo con lo dispuesto en la Ley 1328 de 2009 y los precedentes de esta Corte, cuando se refirió al desarrollo e impacto en el interés público de la actividad de las entidades financieras, la responsabilidad civil de los establecimientos bancarios, principios y obligaciones, entre las que se encuentran disponer de los medios electrónicos y controles para brindar seguridad a las transacciones, así como la posibilidad de asumir los riesgos inherentes a la organización y ejecución del servicio prestado.
Finalmente debe indicarse, que está vedado al juez constitucional intervenir como si fuera de instancia, para establecer cuáles de los planteamientos expuestos resultan ser los más acertados, ni mucho menos para indicar como se deben valorar los medios de convicción practicados en el proceso, o cuales deben ser o no tenidos en cuenta toda vez que, sólo es posible intervenir en la «esfera probatoria», cuando el «error en el juicio valorativo» sea ostensible, flagrante, manifiesto y el mismo debe tener incidencia directa en la decisión, cuya ocurrencia no se advierte en este asunto, pues no se observa un juicio ilógico o contraevidente del material probatorio. (CSJ. STC. 24. jun. 2004, rad. 00142-01 STC 25. ene. 2012, STC2738-2018, reiterada en STC2666-2022, y STC3933-2023 entre otras).
5. Conclusión.
En ese orden, no luce caprichoso que el Tribunal Superior accionado decidiera como lo hizo, pues las consideraciones que con suficiencia expuso, constituyen una interpretación judicial válida y razonable que por demás no son materia de censura a través de esta acción constitucional, las cuales no configuran ninguno de los requisitos de procedibilidad de la acción de tutela contra providencias judiciales, además que no se evidencia el defecto fáctico o sustancial reprochado. En consecuencia, el amparo no prospera.
DECISIÓN
En mérito de lo expuesto, la Corte Suprema de Justicia, en Sala de Casación Civil, Agraria y Rural, administrando justicia en nombre de la República de Colombia y por autoridad de la ley, resuelve Negar la acción de tutela promovida por Banco Davivienda SA contra la Sala Civil Familia del Tribunal Superior de Ibagué.
Comuníquese a los interesados por el medio más expedito, y, de no impugnarse este fallo, remítase el expediente a la Corte Constitucional para su eventual revisión.
NOTIFÍQUESE Y CÚMPLASE
FERNANDO AUGUSTO JIMÉNEZ VALDERRAMA
Presidente de Sala
MARTHA PATRICIA GUZMÁN ÁLVAREZ
OCTAVIO AUGUSTO TEJEIRO DUQUE
(Ausencia Justificada)
FRANCISCO TERNERA BARRIOS