Bank's strict liability for electronic banking fraudResponsabilidad objetiva del banco por fraudes en banca electrónica

VI.- On the fundamental rights of consumers. Constitutional and legal regulation. For this case, it is necessary to make a brief reference to the constitutional and legal framework that specifies the set of rights applicable to consumers in relationships for the acquisition of goods and/or services. This is relevant when considering that checking account contracts (including electronic ones), as well as the generality of financial and banking offerings, form part of that type of commercial relationships in which the recipient of the service or goods constitutes a consumer, a category for which, due to the dynamics of commerce, rights and obligations have been enshrined. This topic has already been the subject of examination by this Court, in rulings number 1112-2009 of 1:30 p.m. on June 15, 2009, number 602-2010 of 4:30 p.m. on February 19, 2010, number 2758-2010 of 11:45 a.m. on July 28, 2010, and number 3699-2010 of 11:57 a.m. on September 30, 2010. In these precedents, this Sixth Section has established that this type of relationship partakes of the category of consumer relationships. From this perspective, canon 46, fifth paragraph of the Political Constitution establishes the set of rights that attend consumers, in most cases, as the weaker party in the commercial relationship. In that line, the cited numeral establishes: "Article 46.- (...) Consumers and users have the right to the protection of their health, environment, security, and economic interests; to receive adequate and truthful information; to freedom of choice, and to equitable treatment. The State shall support the organizations they constitute for the defense of their rights. The Law shall regulate these matters." It is worth specifying that the right to equitable treatment presupposes, in any case, the duty of the merchant or provider to treat the consumer in an attentive and respectful manner in the face of their simple claims, or in the protection of their rights both in administrative and judicial venues. Now then, it is clear that the application of these principles and their interpretation must be oriented towards the protection and safeguarding of the weaker party in the relationship. This is how the Constitutional Chamber has understood it, among others, in ruling number 2002-0857, in which, on the subject under discussion, it stated: "It is notorious that the consumer is at the end of the chain formed by the production, distribution, and commercialization of the consumer goods they need to acquire for their personal satisfaction, and their participation in that process does not respond to technical or professional reasons, but rather to the constant conclusion of contracts on a personal basis. Therefore, their relationship in that commercial sequence is one of inferiority and requires special protection against the providers of the goods and services, so that prior to expressing their contractual consent they have all the necessary elements of judgment that allow them to express it with complete freedom, and this implies full knowledge of the goods and services offered. Included by what has been expressed, in a harmonious mix, are several constitutional principles, such as the state's concern in favor of the broadest sectors of the population when they act as consumers, the reaffirmation of individual freedom by facilitating private parties' free disposition of their patrimony with the assistance of the greatest possible knowledge of the good or service to be acquired, the protection of health which is involved, the ordering and systematization of the reciprocal relationships between the interested parties, the alignment of international commercial practices with the domestic system, and finally, the greater protection of the inhabitant's functioning within means of subsistence." From the foregoing, it is inferred that in the consumer relationship between the merchant or provider and the consumer, due to the natural dynamics of commerce, a inequality exists between both, and the consumer, in most cases, in this natural relationship, is the weaker party. Hence, the Political Constitution balances the dynamics of burdens of that consumer relationship, granting the consumer a series of fundamental rights that protect them from their natural inequality with the merchant or provider. As a derivation of this, the interpretation and application of the rules, in case of doubt, in conflicts of this nature, must favor the weaker party, that is, in thesis of principle, the consumer. Hence, in those scenarios, the merchant or provider has an obligation to demonstrate that they have fulfilled their obligations in the consumer relationship and that they have respected the fundamental rights of the consumer; otherwise, they must answer for the infraction of these rules as determined by the infra-constitutional norms. Now, as article 46 of the Constitution states, it is the Law that will be responsible for regulating those rights, which is concretized in the Law for the Promotion of Competition and Effective Defense of the Consumer, No. 7472. Said legal body establishes, broadly speaking, the rights that attend the consumer, a topic developed in canon 32, as well as the duties of the merchant, established in canon 34. It is clear, therefore, that the infringement of the merchant's duties generates, as a direct effect and as a natural and logical consequence, the violation of the consumer's rights, constitutionally and legally protected in the terms already set forth. This then supposes the emergence of a system of liability of the merchant or provider towards the consumer, to repair the damages and losses caused to the latter. Consequently, if there is a violation of the constitutional and legal rights of the consumer by the merchant or provider, the latter must repair the harmful effect caused to the consumer, under the strict liability regime (régimen de responsabilidad objetiva) that will be explained in detail and precision in the following consideration of this judgment.

VII.- On the legal liability regime applicable to electronic commerce relationships of a banking nature. A relevant aspect within this process is the determination of the legal regime applicable to this type of commercial linkage such as the one that has arisen between the parties. Regarding legal regulations that the checking account contract establishes in the Commercial Code, this Court has been clear, a thesis it upholds as no legal arguments have been provided to justify a variation in this position. Checking account contracts with electronic internet banking services being one more variation of economic consumer relationships, in this case, of banking and financial services, the liability rules established by the Law for the Promotion of Competition and Effective Defense of the Consumer are of total and full application. Even considering that in the current context, electronic accounts presuppose, as a basic criterion, the existence of a checking account contract, thus being considered an additional service to this latter, or rather, an updated variation, the fact of the matter is that in the conceptual context developed in article 2 of Law No. 7472, that linkage fits fully within consumer relationships insofar as it involves a party that is a merchant or provider of financial or banking services, which are acquired by a client who constitutes the final recipient of that market offering. It is a commercial adhesion contract whose object is the offering of banking services for the administration of funds through a checking account, by virtue of which the Bank receives from the client funds or other creditable instruments immediately or as a deposit, or the granting of credit, to draw against it. It is evident that when the account permits electronic transfers, as a derivation of technological modernity, the reference to the concept of checks (as a physical document) is not applicable. Precisely, the application of dematerialized mechanisms in commerce for the availability of those funds and accounts, dispensing with the issuance of physical documents, is today one more offering within the cited checking account contract, which is highly attractive to the consumer, given the agility and simplification of transactions, which demands security mechanisms for monetary movements to fulfill the duty of efficient and diligent custody of the client's funds. From this angle of examination, the rules that refer to the contractual typology of the bond do not detract from or eliminate that it is a consumer relationship, therefore also regulated by the provisions of Law No. 7472. Hence, there is no doubt that the legal liability regime applicable to the present matter is numeral 35 of the cited Law for the Promotion of Competition and Effective Defense of the Consumer. Thus, by way of reference, this Section has stated it in the aforementioned ruling No. 2758-2010, in which, on the specific topic, it was noted: "From those resolutions, the unanimous criterion can be extracted that the strict liability regime that must be applied in matters such as the present one is that provided in articles 31 and 35 of the Law for the Promotion of Competition and Effective Defense of the Consumer, this because we are in the presence of a commercial consumer relationship, in which the Banco Nacional de Costa Rica, despite being a public administration, provides a commercial Internet Banking service, which is qualified as a private mercantile service, for which reason said banking institution is not acting within its administrative powers, but as a subject of private law and must be regulated by the respective regulations, such as the Law for the Promotion of Competition and Effective Defense of the Consumer. Likewise, the plaintiff company comes in its capacity as a client of the defendant bank, thus configuring the essential elements for the existence of a commercial consumer relationship that is governed by the rules of the cited Consumer Protection Law. (...) Furthermore, from what has been said by this same Contentious-Administrative Court, this jurisdictional body considers that the Law for the Promotion and Defense of the Consumer regulates a special legal regime, which must be applied over the general legal regime, as would be in this case the commercial regulation on checking accounts, or on contractual matters, so from this simple perspective, the rules of strict liability regulated by the cited Consumer Protection Law must be applied. Likewise, and under the same arguments indicated previously, this Court does not agree with the allegation of the defendant party to the effect that the rules of the Commercial Code should be applied, specifically with regard to checking account contracts, since, as has been set forth, consumer protection regulation is a special regime that prevails over the general regime of the Commercial Code." VIII.- Background from the First Chamber of the Supreme Court of Justice in similar cases. With the foregoing having been set forth, it is worth bringing up what was resolved by the First Chamber in judgment number 300-2009 of eleven twenty-five in the morning on March 26, 2009, analyzing the subject matter of controversy, it noted: "III.- Strict liability for risk in consumer matters. Regarding liability, two major branches can be identified: a subjective one, in which the concurrence, and consequent demonstration, of fraud or fault on the part of the author of the harmful act is required (e.g., cardinal 1045 of the Civil Code), and another objective one, which is characterized, in essence, by dispensing with those elements, the imputation of the damage being the central axis upon which the duty to repair is erected. As an example of the foregoing, there is numeral 35 of the Law of Effective Defense of the Consumer, where the merchant, producer, or provider shall respond for those damages derived from the goods transacted and the services provided, even when negligence, imprudence, lack of skill, or fraud is not detected in their actions. Likewise, it is important to consider, due to its influence on the evidentiary matter, that the determining elements for the emergence of civil liability, be it subjective or objective, are: a harmful conduct (which can be active or passive, lawful or unlawful), the existence of damage (that is, an injury to a protected legal right), a causal nexus linking the two aforementioned, and in most cases the verification of an attribution criterion, which will depend on the specific legal regime. Regarding causality, it is necessary to indicate that it involves a case-by-case assessment made by the judge in which, based on the facts, they determine the existence of a relationship between the damage claimed and the conduct deployed by the economic agent. Although various theories exist on the matter, the one considered most consistent with the Costa Rican regime is that of adequate causality, according to which there is a link between damage and conduct when the former originates, if not necessarily, at least with a high probability according to the specific circumstances affecting the matter, from the latter (in this sense, one can see, among others, resolutions 467-F-2008 of 2:25 p.m. on July 4, 2008, or 1008-F-2006 of 9:30 a.m. on December 21, 2006). At this point, it is important to clarify that the verification of exempting causes (fault of the victim, an act of a third party, or force majeure) acts upon the causal nexus, ruling out that the conduct attributed to the defendant party was the producer of the injury suffered. With regard to the different attribution criteria, for the purposes of the present case, the theory of created risk is of interest, which was included, Defense Law. The objective scheme adopted by the law, as well as the application of the cited attribution criterion, are inferred from the simple reading of the rule in question, which stipulates (...) Carrying out a detailed analysis of the rule just transcribed, a series of conditioning elements for its application are inferred. First, and from the level of subjects, that is, who causes the damage and who suffers it, the application of this liability regime is contingent upon certain qualifications concurring in them. Thus, regarding the former, it is required that they be a producer, provider, or merchant, whether these be natural or legal persons. For its part, regarding the latter, the injury must be inflicted on someone who participates in a legal relationship where they are placed as a consumer, in the terms defined in the legal body of reference and developed by this Chamber. It is required, then, that both parties form part of a consumer relationship, whose object is the potential acquisition, enjoyment, or use of a good or service by the consumer. The Bank acts in the exercise of its capacity under private law, as a genuine public enterprise, and in said condition, it offers a service to its clients, therefore, since there is a consumer relationship, the particular case must be analyzed under the scope of coverage of numeral 35 under discussion. Likewise, from the precept under study it is inferred, secondly, that the legislator established a series of attribution criteria upon which the strict liability regulated by this cardinal can be imputed, among which is the already cited theory of risk. Thus, this serves as a factor to assign liability to the subjects referred to. In essence, this theory postulates that whoever creates, exercises, or benefits from a lawful lucrative activity that presents potentially dangerous elements for others, must also bear its inconveniences (ubi emolumentum, ubi onus, which can be translated as where the emolument is, there is the burden). From the preceding affirmation, two characteristics can be inferred: on the one hand, that the risk comes from an activity of exploitation; and on the other, since it is performed by the human being, so-called acts of nature are excluded. Concomitantly, it is important to make some clarifications regarding the risks suitable for the generation of liability, since not every risk implies the emergence, automatically, of the latter. Currently, life in society offers a countless number of risks, of different degrees and scopes, to the point that one can affirm that it is impossible to find a daily activity that is exempt from them. Along these lines, the interpretation of the rules cannot start from an absolute and total aversion to risk, which, as indicated, forms an integral part of societal coexistence and the technological advances integrated into it. The foregoing leads to affirm that, for the emergence of the duty to repair, the risk associated with the activity must present a degree of abnormality, that is, that it exceeds the margin of tolerance that is admissible according to the rules of experience, which must be analyzed, on a case-by-case basis, by the judge. The second point that requires some type of commentary concerns the subject who becomes obligated by virtue of an activity considered dangerous. As already indicated, the attribution criterion is, precisely, the created risk, which suggests that the person to whom the damage is imputed must be in a position of control regarding it, that is, they must be the one who develops the activity or assumes the possible associated negative consequences, receiving a benefit from it. This benefit may be direct, which can be identified, among others, with the income or emoluments obtained as consideration, or indirect, when the advantageous situation occurs reflexively, which could be the case of alternative mechanisms that tend to attract consumers, and consequently, result in an economic profit for the offeror. It is important to mention that in an activity it is possible to find different degrees of risk, which must be managed by that subject who benefits from it, a circumstance that exerts a direct influence on the evidentiary burden that corresponds to them, since it is relevant for determining the imputation in the specific case. The foregoing, together with the existence of exempting causes, demonstrates that the legislation under discussion does not constitute an automatic patrimonial transfer." IX.- Scope of the liability regime regulated in Law No. 7472. It is clear, then, that the liability rule applicable to the case is the aforementioned ordinal 35 of Law No. 7472, which in its literal wording states: "ARTICLE 35.- Liability regime. The producer, the provider, and the merchant must respond concurrently and independently of the existence of fault, if the consumer is harmed by reason of the good or the service, by inadequate or insufficient information about them, or by their use and risks./ Only one who demonstrates that they were extraneous to the damage is freed from liability./ The legal representatives of the mercantile establishments or, as the case may be, the persons in charge of the business are responsible for their own acts or deeds or for those of their dependents or auxiliaries. The technicians, those in charge of preparation and control, respond jointly and severally, when appropriate, for the violations of this Law to the detriment of the consumer." The correct understanding of the rule allows concluding on the objective nature of this liability regime, which, as such, dispenses with the consideration of subjective factors, such as fraud or gross fault. Second, it is necessary to prove the existence of harmful conduct, whether active or by omission; this means that there must be a violation of consumer rights or of their obligations on the part of the merchant or provider. It is clear that for the imputation of liability to be possible, the existence of an effective, assessable, and individualizable damage must be demonstrated, that is a consequence of the merchant's (presumed responsible) conduct. This implies the proof of a causal nexus between that injury and the behavior of the service or goods provider. Now then, within the context of the legal regime applicable to the case of this type of consumer relationship, numeral 35 of Law No. 7472 establishes the possible release from liability for one who demonstrates extraneousness to the damage. By supplementary application of article 190 of the General Law of Public Administration (in accordance with the remission established by canon 71 of the Law for the Promotion of Competition and Effective Protection of the Consumer), the exempting causes of liability provided for therein are fully applicable to this matter. Of course, in accordance with the dynamic burden of proof, it corresponds to the one who intends to be freed from an obligation to prove the liberating, impeditive, or modifying facts of the right intended to be enforced against them. On the topic of the burden of proof in this type of process, consideration IV of judgment 300-2009 of the First Chamber of the Supreme Court of Justice can be seen. Thus, it is decisive to establish in this process the convergence of the various referenced scenarios that give rise to the strict liability of the banking entity, as the plaintiff alleges, or if, on the contrary, some of the exempting causes of that liability have been configured that allow the Bank to be considered extraneous to the damage claimed in this venue.

X - Analysis of the specific case. On the strict liability of the Banco Nacional. Proof of damage and causal nexus. In the case, it has been established as proven that the company Bahía Pez Vela Administration S.A. has two checking accounts with the Banco Nacional de Costa Rica, number 100-01-015-006077-5 in colones and number 100-02-015-600387-8 in dollars, and that in these, during the period between March 10 and 14, 2008, a series of debits were made through electronic transfers, for a total of forty-two transfers in favor of various accounts belonging to other clients of the same defendant Bank (see detail in the report of the Security Supervisor of the defendant Bank visible at folios 1 to 4 of the administrative file), for a total, according to said report, of ¢19,500,000.00 (nineteen million five hundred thousand colones). As indicated, the debits were made from IP addresses within the Country, on machines not linked to the defendant Bank itself and which, the plaintiff party denies having authorized, since both before the same banking institution and before the Judicial Investigation Organization, it stated that it was the company's accountant who noticed the missing funds when consulting the internet system for the purposes of carrying out some operations, which is why, on March 14, 2008 itself, it proceeded to notify the Bank, requesting the respective investigation. As a result of the complaint filed by the representative of the affected company, the Security Supervisor of the Guanacaste-Puntarenas Regional Bank in official letter BRGP-005-2008 of April 7, 2008, among his conclusions, indicated: "... given that in the transactional record that identify the account holder as the author of the suspicious transfers reported, the data identifying the account holder as the author thereof appear. Which reflects that what occurred does not stem from a violation of the bank's security systems, but from a user failure. Therefore, it is recommended, subject to your better judgment, to decline the present administrative claim, rejecting in all its extremes the pretension for reimbursement of the funds... " (folio 1 of the administrative file). Based on that, the Director of the Guanacaste-Puntarenas Regional Banking Division of the Banco Nacional de Costa Rica, through official letter BRGP-142-2008 dated April 9, 2008, informed Mr. Brenes Cabalceta about the investigation carried out in the reported case; among other things, he indicated that the movements were not made from any machine related to the Bank and that according to the IP addresses from which they were executed, they are services provided by ICE, Racsa, Cable Amnet, and Cable Tica, and therefore it does not stem from the violation of the bank's security systems, but from a user failure, for which reason the claim was rejected (Folios 5 to 7 of the administrative file). In response to this, the representative of the company Bahía Pez Vela Administration S.A. filed, on April 22, 2008, appeals for revocation and appeal in subsidy against what was resolved in official letter BRGP-142-2008, alleging that the company was the object of an action by third parties who, abusing the electronic fund management system held by the Banco Nacional (Folio 11 to 20 of the administrative file). Both appeals were rejected, the revocation in official letter BRGP-163-2008 of April 30, 2008, and the appeal by the General Board of Directors in article 10, of session No. 11,497 of August 26, 2008, arguing that the patrimonial damage caused did not occur due to conduct deployed by the Bank, but due to the negligence of a representative or authorized person on the account, who must have revealed the data necessary to access the account and make the money transfers from the accounts to various persons (Folios 21 and 23, respectively, of the administrative file). Despite the exhaustion of the administrative route, the representative of the affected company, on July 28, 2009, again filed the administrative claim before the Liberia branch of the Banco Nacional de Costa Rica, requesting the payment of $40,000 that he indicated were subtracted from his accounts (Folio 40 and 41 of the main file), and that given the omission of a resolution, on January 8, 2010 (Folio 73 of the main file), the Bank was urged to issue the respective resolution of his claim, without obtaining a result. From the factual picture described above, this Court clearly extracts that there has been a consumer relationship between the Banco Nacional and the plaintiff company, by which the provisions of article 35 of Law No. 7472 are applicable to the case, as has been indicated. Furthermore, it has been possible to verify damage to the rights of the consumer that is concretized by the risk produced by the use of the technological platform of the internet banking service offered by the banking entity, a damage occurring in the plaintiff's patrimonial sphere, consisting of the unauthorized subtraction of money from their accounts, as determined in the study conducted by the Bank on the occasion of the transfers made between March 10 and 14, 2008, from the dollar and colon accounts of the plaintiff company here. Although the defendant Bank attempts to indicate that the responsibility is not theirs, the truth is that the injury suffered must be considered as a consequence of the lack of implementation of adequate security mechanisms for the use of electronic transfer services enabled in internet banking, a service offered by the Banco Nacional de Costa Rica, as in this case, to the company Bahía Pez Vela Administration S.A. Thus, the causal nexus that is required to be able to impute liability in this type of situation is manifest. As indicated, it is worth highlighting that the representative of the affected company, upon learning of the subtractions, proceeded to report it both to the Bank that provided the services, as well as to the police authorities, in this case the Judicial Investigation Organization, both on March 14, 2008, with the operations improperly made to their accounts having been between March 10 and 14 of that year, which demonstrates the prompt attention of the affected party.

X I. Analysis of the existence of exonerating causes in the case. As indicated above, it is the provider or marketer of the Internet Banking service, in this case Banco Nacional de Costa Rica, that could free itself from its strict liability (responsabilidad objetiva) derived from the application of Article 35 of Ley 7472, only when it proves (since it is its burden of proof) that the harmful result was foreign to it, meaning that the case involved the fault of the victim, an act of a third party, or force majeure. The bank alleged, even as a substantive defense, the concurrence of fault of the victim, and as a consequence thereof, the participation of third persons. Indeed, the position taken by the Bank when answering the complaint is supported by the dissenting vote of Judge Palacios García to judgment 910-2010 of Section IV of this Court, in which, among other aspects, it is determined that regarding the obtaining of the keys and passwords necessary to carry out the transactions, it is necessary to determine whether this was due to the lack of skill of the bank or its employees, or whether a third party used computer means to obtain directly from the client the necessary data to access the system. However, this panel of the Court maintains its position that the burden of proof in this type of case continues to lie with the banking institution; hence, if it maintains, as it does in this case, the idea of the existence of a suppression of its liability either due to the client's own intervention who carelessly left their data in the hands of third parties, or that the bank itself had no liability, these are aspects that, for the purpose of its exoneration, it must prove in the record. In this regard, it should be noted that the answer to the complaint does not delve into the matter, and refers to the investigation report produced on the occasion of the incident that occurred to the plaintiff company, making it necessary to analyze what is provided therein. Thus, in official communication BRGP-005-2008 of April 7, 2008, Mr. Gilberth Marchena Viales, Security Supervisor of Banco Nacional de Costa Rica, when analyzing the case, refers to the fact that in the institution's internal regulations and in the signed contract, the client undertook to keep their identification documents, such as the password, the user code, and other personal data necessary to access the computer system, but the truth is that at no point is any reason, circumstance, or other data identified so that it can be concluded in a consistent, concrete, and determined manner that employees or representatives of the affected company indeed committed, by action or omission, careless use of the identification documentation to use the system; they only start from an assumption, derived, in their understanding, from the fact that the transactions did not originate from any machine of the Bank, nor from its employees, and that the IP addresses used correspond to individuals foreign to the institution. This derivation cannot be taken into account in a case such as the one before us to transfer liability to the client or a third party, since the data with which the unauthorized transfers were made could very well have been obtained from the bank's own records due to a lack of controls in the computer system, which is not ruled out at any time by what is indicated in the aforementioned investigation report, as it is well known that so-called "hackers" could have perfectly intruded into the systems and obtained from there the necessary data to have carried out the transactions that ultimately affected the accounts that the company Bahía Pez Vela maintains with the financial institution. In fact, as indicated, the report is not conclusive in that regard, but rather starts from assumptions; even when the appeal filed in this case was resolved, the General Board of Directors of Banco Nacional de Costa Rica maintained the conjecture, since in article ten of session 11497 of August 23, 2008, it affirmed that: "...the patrimonial damage caused to the appellant did not occur due to conduct deployed by Banco Nacional de Costa Rica, but rather due to negligent conduct carried out by a representative or person authorized to access the account, which ultimately resulted in the transfer of money to the accounts of various persons..." That is, without any proof, the Bank, in order to free itself from liability, asserts that it was the representatives or workers of the affected company who, through "negligence," revealed the data. It is insisted, the Bank cannot merely indicate that it has managed the data well internally and, without further evidence, simply state that if it was not the institution, the client must be responsible, an argument that is completely devoid of probative force and must therefore be dismissed as an element to be taken into account in the possible exoneration of the strict liability that arises from these cases, since what is indicated in that manner would not have the merit to be taken as reliable proof of its computer operations without breach, much less to impute a fault to others without having support for it. Indeed, a thorough analysis of the various pieces of evidence in the record does not allow concluding that there were imprudent or negligent behaviors by the account holder allowing it to be assumed that they made relevant information for accessing their accounts known to third persons. Furthermore, from the technical investigation that was added to the case file, there is no accreditation that the plaintiff had yielded their sensitive data for the completion of the transfers object of the dispute. Therefore, the concurrence of fault of the victim cannot be inferred in this case for not having been diligent in the custody of the means of access to the Internet Banking tool (sensitive data in their possession), and moreover, the Bank could not demonstrate in this proceeding that the damage was foreign to its sphere of action and foresight. Nor has it been possible to prove that the bank's security systems functioned adequately or that there was no failure in the security systems of the defendant banking entity. On the other hand, the necessary convincing evidence was not provided to prove the act of a third party as a cause for excluding the Bank's liability. Although it is detected that the transfers were made from IP addresses located in the country, the truth of the matter is that, at its core, it is insisted, the defendant entity did not prove that its security systems had not been breached, such that there was a level of security and minimal risk through the use of electronic services. It could not be sustained that the burden of proof regarding the vulnerability of those mechanisms or the computer security system rests on the plaintiff, since to the contrary, its evidentiary burden must be directed at demonstrating the existence of one or several circumstances that prevent the arising of the oft-mentioned civil liability, which by law rests on that banking institution. Thus, it would be unthinkable to attempt to shift that burden of proof so that the user of the banking services offered by Banco Nacional de Costa Rica must know in detail all the security systems of that bank, and from there, also demonstrate the existence of any breach. Such a position does not imply the impossibility of demonstrating the existence of fault of the victim or the act of a third party within the framework of electronic banking commerce. It is worth noting that it is the defendant who designs and conditions access to the systems used within the framework of the tool called Internet Banking, which is why it has the possibility of establishing as many security systems as it deems appropriate in order to guarantee that transactions are made by its client, and not just by someone who has at their disposal sensitive data of that user. In this sense, it is the banking entity, which profits from the financial services offered, that must ensure the use of computer and administrative systems that, from a legal standpoint, allow for the certainty of accreditation of the user's physical identity, for example, the mandatory establishment of OTP devices, or even, considering within its administrative autonomy, establishing the use of devices that reduce risks and prove the client's identity with a greater degree of certainty, such as biometric tools, this in order to have systems that allow for the pre-constitution of evidence. In this direction, the First Chamber of the Supreme Court of Justice has considered: "Notwithstanding the foregoing, the defendant financial entity must take into account that its essential function is financial intermediation, which includes the attraction of funds from public savings, a concept that implicitly carries their custody, both from a physical and a corresponding electronic record point of view. There is no doubt that it is subject to an unavoidable obligation to guarantee the security of transactions carried out, whether at the teller window or through any other means made available to clients, which must necessarily encompass the use of all those available mechanisms that allow it to have a greater degree of certainty regarding the identification of persons who are authorized to carry out electronic transactions from the accounts. The liability attributed to the Bank is based not on the theft of money by a third party, but on the existence of a risk, as set forth in Considerando III, in the very operation of the service it offers, which allows the origin of the damage to be attributed to the operation of the service. The foregoing, despite having mechanisms that allow for greater security. (...) At the end of the day, banks, and the defendant is no exception, safeguard and administer, among other things, the property of others; and not just any property, but public funds. Thus, it is liable not only for the strength of its internal systems, but also for the security of whoever, to arrive there, uses the only possible channels that the Bank itself knows and recognizes as risky. And it is liable not insofar as they are foreign, but insofar as they constitute the means it directly uses for the provision of the service. As prescribed by numeral 35 of the Ley de Protección al Consumidor, there has been an injured party due to the service, which, when used (and in view of its risky nature), produced a significant injury to the party appearing in the proceeding as the plaintiff. (...) The means of accessing the Bank's platform is not, therefore, an external source of risk, but an instrument consubstantial to the service it provides; if you will, it forms an intrinsic part of the activity, which although accessory to the intermediary's activity, is essential. Hence, the guarantee mechanisms for the client –user– must occur not only within the computer walls of the Bank itself, but also on the path to access it as part of the service. Not in vain, the Financial System has, in general, focused on the implementation of double identification mechanisms, the improvement of passwords, and, in general, the use of recent systems such as the use of tokens, changing passwords, keys with special devices, among others." (Resolution No. 300-2009 cited above) Said reference makes it evident that the vulnerability of the system is not a matter that the account holder must prove; on the contrary, given the activity it carries out, the profit it obtains from that commercial line, and because it constitutes a means that allows for the streamlining of transactions derived from the checking account, a contract that involves the custody of public funds, it is the financial entity that must prove that its security systems have an acceptable degree of security and that, in each specific case, they were not breached. In the present case, it was precisely the deficiency of security mechanisms that caused the materialization of a damage against the plaintiff company, consisting of the theft of an amount of money, which has been recognized by the Bank as ₡19,500,000.00 (nineteen million five hundred thousand colones), but for the plaintiff it is $40,000.00 (forty thousand dollars), the product of various transactions made in favor of other account holders of the same Banco Nacional de Costa Rica. This implies a damage from which the banking entity has not been able to dissociate itself, as it has not been able to prove that the damage was foreign to it or the concurrence of any of the exonerating causes that would allow it to free itself from the strict liability that prevails in matters of consumer relations.

“VI.- Sobre los derechos fundamentales de los consumidores. Regulación constitucional y legal. Para este caso, se hace necesario hacer una breve referencia al ordenamiento constitucional y legal que precisa el conjunto de derechos que le resultan aplicables a los consumidores en las relaciones de adquisición de bienes y/o servicios. Esto es relevante al considerar que los contratos de cuenta corriente (incluso la electrónica), así como la generalidad de la oferta financiera y bancaria, forman parte de ese tipo de relaciones comerciales en las cuales, el destinatario del servicio o bienes se constituye como consumidor, categoría a la cual, en razón de la dinámica del comercio, se han consagrado derechos y obligaciones. Este tema ha sido ya objeto de examen por parte de este Tribunal , en las sentencias números 1112-2009 de las 13 horas con 30 minutos del 15 de junio de 2009, número 602-2010 de las dieciséis horas treinta minutos del diecinueve de febrero del dos mil diez , número 2758-2010 de las once horas con cuarenta y cinco minutos del veintiocho de julio del dos mil diez y la número 3699-2010 de las once horas con cincuenta y siete minutso del treinta de setiembre de dos mil diez . En dichos precedentes, esta Sección Sexta ha establecido que este tipo de relaciones participa de la categoría de relaciones de consumo. Desde este plano, el canon 46 párrafo quinto de la C onstitución Política establece el conjunto de derechos que acuden a los consumidores, en la mayoría de las ocasiones, como parte débil de la relación comercial. En esa línea, estatuye el citado numeral: “Artículo 46.- (…) Los consumidores y usuarios tienen derecho a la protección de su salud, ambiente, seguridad e intereses económicos; a recibir información adecuada y veraz; a la libertad elección, y a un trato equitativo. El Estado apoyará los organismos que ellos constituyan para la defensa de sus derechos. La Ley regulará esas materias”. Cabe precisar que el derecho a un trato equitativo supone en cualquier supuesto, el deber del comerciante o proveedor, de tratar al consumidor de manera atenta y respetuosa frente a sus simples reclamos, o en la tutela de sus derechos tanto en sede administrativa y judicial. Ahora bien, es claro que la aplicación de estos principios y su interpretación, debe orientarse hacia la tutela y resguardo de la parte más débil de la relación. Así lo ha entendido la Sala Constitucional, entre otros, en la sentencia número 2002-0 857, en l a cual, sobre el tema objeto de comentario señaló: “Es notorio que el consumidor se encuentra en el extremo de la cadena formada por la producción, distribución y comercialización de los bienes de consumo que requiere adquirir para su satisfacción personal, y su participación en ese proceso, no responde a razones técnicas ni profesionales, sino en la celebración constante de contratos a título personal. Por ello su relación en esa secuencia comercial es de inferioridad y requiere de una especial protección frente a los proveedores de los bienes y servicios, a los efectos de que previo a externar su consentimiento contractual cuente con todos los elementos de juicio necesarios, que le permitan ofrecidos. Van incluidos por lo expresado, en una mezcla armónica, varios principios constitucionales, como la preocupación estatal a favor de los más amplios sectores de la población cuando actúan como consumidores, la reafirmación de la libertad individual al facilitar a los particulares la libre disposición del patrimonio con el concurso del mayor posible conocimiento del bien o servicio a adquirir, la protección de la salud cual está involucrada, el ordenamiento y la sistematización de las relaciones recíprocas entre los interesados, la homologación de las prácticas comerciales internacionales al sistema interno y en fin, la mayor protección del funcionamiento del habitante en los medios de subsistencia” De lo expuesto se colige, en la relación de consumo entre el comerciante o proveedor y el consumidor, existe por la dinámica natural del comercio, una desigualdad entre ambos, y el consumidor, en la mayoría de las ocasiones, en esta relación natural, es la parte más débil. De ahí que la Constitución Política equilibre la dinámica de cargas de esa relación de consumo, otorgándole al consumidor una serie de derechos fundamentales que lo protegen de su desigualdad natural con el comerciante o proveedor. Como derivación de ello, la interpretación y la aplicación de las normas, en caso de duda, en los conflictos de esta naturaleza, deben favorecer al más débil, es decir, en tesis de principio, al consumidor. De ahí que en esos supuestos, el comerciante o proveedor, tiene una obligación de demostrar que ha cumplido con sus obligaciones en la relación de consumo y que ha respetado los derechos fundamentales del consumidor, en caso contrario, deberá responder por la infracción a estas reglas como lo determine las normas infra constitucionales. Ahora, como lo dice el artículo 46 constitucional, es a la Ley a la que le corresponderá regular esos derechos, lo que se concreta en la Ley de Promoción de la Competencia y Defensa Efectiva del Consumidor, No. 7472. Dicho cuerpo legal establece, grosso modo, los derechos que acuden al consumidor, tema desarrollado en el canon 32, así como los deberes del comerciante, establecidos en el canon 34. Es claro por ende, la infracción a los deberes del comerciante, genera por efecto directo y como consecuencia natural y lógica, el quebranto de los derechos del consumidor, tutelados constitucional y legalmente en los términos ya expuestos. Ello supone entonces, el surgimiento de un sistema de responsabilidad del comerciante o proveedor hacía el consumidor, de reparar los daños y perjuicios que se le ocasionen a este último. En consecuencia, si existe una violación a los derechos constitucionales y legales del consumidor, por parte del comerciante o proveedor, éste debe reparar el efecto dañoso que se le haya causado al consumidor, bajo el régimen de responsabilidad objetiva que en el siguiente considerando de esta sentencia se explicará con detalle y precisión.

V II .- Sobre el régimen jurídico de responsabilidad aplicable a las relaciones de comercio electrónico de índole bancario. Aspecto relevante dentro de este proceso es la determinación del régimen jurídico aplicable a este tipo de vinculaciones comerciales como la que se ha presentado entre las partes. Sobre regulaciones legales que d el contrato de cuenta corriente establece el Código de Comercio, este Tribunal ha sido claro, tesis que sostiene al no aportarse argumentos de derecho que justifiquen una variación en esta postura, siendo los contratos de cuenta corriente con servicios electrónicos de internet bankin g una variación más de las relaciones económicas de consumo, en este caso, de servicios bancarios y financieros, son de total y plena aplicación las normas de responsabilidad fijadas por la Ley de Promoción de la Competencia y Defensa Efectiva del Consumidor. Aún considerando que en el contexto actual, las cuentas electrónicas suponen como criterio de base la existencia de un contrato de cuenta corriente, considerándose por ende en un servicio adicional a este último, o bien, una variación actualizada, lo cierto del caso es que en el contexto conceptual desarrollado en el artículo 2 de la Ley No. 7472, esa vinculación encaja a plenitud dentro de las relaciones de consumo en tanto se trata de una parte comerciante o proveedora de servicios financieros o bancarios, que son adquiridos por un cliente que constituye el destinatario final de esa oferta de mercado. Se trata de un contrato comercial por adhesión que tiene por objeto la oferta de servicios bancarios de administración de fondos mediante una cuenta corriente, en virtud del cual el Banco recibe del cliente fondos u otros valores acreditables de manera inmediata o en calidad de depósito o bien, otorgamiento de crédito, para girar contra él. Resulta evidente que cuando la cuenta permita transferencias electrónicas, como derivación de la modernidad tecnológica, no resulta de aplicación la referencia al concepto de cheques (como documento físico). Precisamente la aplicación de mecanismos desmaterializados en el comercio para la disponibilidad de esos fondos y cuentas prescindiendo de emisión de documentos físicos, es hoy en día una oferta más dentro del citado contrato de cuenta corriente, que resulta altamente atractiva para el consumidor, dada la agilidad y simplificación de las transacciones, lo que exige, mecanismos de seguridad de movimientos monetarios para concretar el deber de eficiente y diligente custodia de los fondos del cliente. Desde esa arista de examen, las normas que refieren a la tipología contractual del vínculo no desmejora ni elimina que se trate de una relación de consumo, regulada por ende, además, por las disposiciones de la Ley No. 7472. De ahí que no exista duda en que el régimen jurídico de responsabilidad aplicable al presente asunto es el numeral 35 de la citada Ley de Promoción de la Competencia y Defensa Efectiva del Consumidor. Así, a modo de referencia lo ha expuesto esta Sección en el fallo No. 2758-2010 precitado, en el cual, sobre el tema en concreto se señaló: "De esas resoluciones, se puede extraer el criterio unánime de que el régimen de responsabilidad objetiva que debe aplicarse en asuntos como el presente, es el dispuesto en los artículos 31 y 35 de la Ley de Promoción de la Competencia y de Defensa Efectiva del Consumidor, esto debido a que estamos en presencia de una relación comercial de consumo, en la cual el Banco Nacional de Costa Rica, pese a que es una administración pública, brinda un servicio comercial de Internet Bankin, el cual se califica como un servicio mercantil privado, por lo que dicha institución bancaria no está actuando dentro de sus potestades administrativas, sino como un sujeto de derecho privado y debe regularse por la normativa respectiva, como lo es la Ley de Promoción de la Competencia y de Defensa Efectiva del Consumidor. Asimismo, la empresa actora viene en su calidad de cliente del banco demandado, por lo que se configuran los elementos esenciales para la existencia de una relación comercial de consumo que se rige por las reglas de la citada Ley de Protección al Consumidor. (...) Además, de lo dicho por este mismo Tribunal Contencioso Administrativo, este órgano jurisdiccional considera que la Ley de Promoción y Defensa del Consumidor, regula un régimen jurídico especial, que debe ser aplicado sobre el régimen jurídico general, como sería en este caso la normativa comercial sobre cuentas corrientes, o sobre la materia contractual, por lo que desde esta simple óptica, debe aplicarse las reglas de la responsabilidad objetiva que regula la citada Ley de Protección del Consumidor. Asimismo, y bajo los mismos argumentos indicados anteriormente, este Tribunal no está de acuerdo con el alegato de la parte demandada en el sentido de que se apliquen las normas del Código de Comercio, específicamente en lo concerniente a los contratos de cuentas corrientes, ya que como ha quedado general del Código de Comercio." VI II .- Antecedentes de la Sala Primera de la Corte Suprema de Justicia en casos similares. Ya con lo expuesto, merece traerse a colación lo resuelto por la Sala Primera en la sentencia número 300-20 0 9 de las once horas veinticinco minutos del veintiséis de marzo del dos mil nueve, analizando el tema objeto de controversia, señaló: "III.- Responsabilidad objetiva por riesgo en materia del consumidor. En lo que se refiere a la responsabilidad, se pueden ubicar dos grandes vertientes, una subjetiva, en la cual se requiere la concurrencia, y consecuente demostración, del dolo o culpa por parte del autor del hecho dañoso (v.gr. el cardinal 1045 del Código Civil), y otra objetiva, que se caracteriza, en lo esencial, por prescindir de dichos elementos, siendo la imputación del daño el eje central sobre el cual se erige el deber de reparar. Como ejemplo de lo anterior, se encuentra el numeral 35 de la Ley de Defensa Efectiva del Consumidor, en donde el comerciante, productor o proveedor, responderá por aquellos daños derivados de los bienes transados y los servicios prestados, aún y cuando en su actuar no se detecte negligencia, imprudencia, impericia o dolo. Asimismo, es importante considerar, por su influencia en el tema probatorio, que los elementos determinantes para el surgimiento de la responsabilidad civil, sea esta subjetiva u objetiva, son: una conducta lesiva (la cual puede ser activa o pasiva, legítima o ilegítima), la existencia de un daño (es decir, una lesión a un bien jurídico tutelado), un nexo de causalidad que vincule los dos anteriores, y en la mayoría de los casos la verificación de un criterio de atribución, que dependerá del régimen legal específico. En cuanto a la causalidad, es menester indicar que se trata de una valoración casuística realizada por el juzgador en la cual, con base en los hechos, determina la existencia de relación entre el daño reclamado y la conducta desplegada por el agente económico. Si bien existen diversas teorías sobre la materia, la que se ha considerado más acorde con el régimen costarricense es la de causalidad adecuada, según la cual existe una vinculación entre daño y conducta cuando el primero se origine, si no necesariamente, al menos con una alta probabilidad según las circunstancias específicas que incidan en la materia, de la segunda (en este sentido, pueden verse, entre otras, las resoluciones 467-F-2008 de las 14 horas 25 minutos del 4 de julio de 20085, o la 1008-F-2006 de las 9 horas 30 minutos del 21 de diciembre de 2006). En este punto, es importante aclarar que la comprobación de las causas eximentes (culpa de la víctima, de un hecho de tercero o la fuerza mayor), actúa sobre el nexo de causalidad, descartando que la conducta atribuida a la parte demandada fuera la productora de la lesión sufrida. En lo que se refiere a los distintos criterios de imputación, para los efectos del presente caso, interesa la teoría del riesgo creado, la cual fue incluida, en forma expresa, en la Ley de Defensa del Consumidor. El esquema objetivo por el que se decanta la ley, así como la aplicación del criterio de imputación citado, se desprenden de la simple lectura de la norma en cuestión, la cual estipula (...) Realizando un análisis detallado de la norma recién trascrita, se desprenden una serie de elementos condicionantes de su aplicación. En primer lugar, y desde el plano de los sujetos, esto es, quien causa el daño y quien lo sufre, la aplicación de este régimen de responsabilidad se encuentra supeditada a que en ellos concurran determinadas calificaciones. Así, en cuanto al primero, se exige que sea un productor, proveedor o comerciante, sean estas personas físicas o jurídicas. Por su parte, en cuanto al segundo, la lesión debe ser irrogada a quien participe de una relación jurídica en donde se ubique como consumidor, en los términos definidos en el cuerpo legal de referencia y desarrollados por esta Sala. Se requiere, entonces, que ambas partes integren una relación de consumo, cuyo objeto sea la potencial adquisición, disfrute o utilización de un bien o servicio por parte del consumidor. El Banco actúa en ejercicio de su capacidad de derecho privado, como una verdadera empresa pública, y en dicha condición, ofrece a sus clientes un servicio, por lo que, al existir una relación de consumo, el caso particular debe ser analizado bajo el ámbito de cobertura del numeral 35 en comentario. Asimismo, del precepto bajo estudio se desprende, en segundo lugar, que el legislador fijó una serie de criterios de atribución con base en los cuales se puede imputar la responsabilidad objetiva que regula este cardinal, dentro de los que se encuentra la ya citada teoría del riesgo. Así, este sirve como factor para endilgarle la responsabilidad a los sujetos a que se hace referencia. En esencia, dicha teoría postula que, quien crea, ejerza o se aprovecha de una actividad lucrativa lícita que presenta elementos potencialmente peligrosos para los demás, debe también soportar sus inconvenientes (ubi emolumentum, ubi onus, el cual puede ser traducido como donde está el emolumento, está la carga). De la anterior afirmación se pueden colegir dos características: por un lado, que el riesgo proviene de una actividad de explotación; y por el otro, al ser realizada por el ser humano, se excluyen los denominados hechos de la naturaleza. Concomitantemente, importa realizar algunas precisiones en cuanto a los riesgos aptos para la generación de la responsabilidad, ya que no todo riesgo implica el surgimiento, en forma automática, de esta. En la actualidad, la vida en sociedad ofrece un sinnúmero de riesgos, de distintos grados y alcances, al punto que se puede afirmar que es imposible encontrar una actividad cotidiana que se encuentre exenta de ellos. En esta línea, la interpretación de las normas no puede partir de una aversión absoluta y total al riesgo, el cual, como se indicó, forma parte integral de la convivencia societaria y de los avances tecnológicos que se integran a esta. Lo anterior lleva a afirmar que, para el surgimiento del deber de reparación, el riesgo asociado con la actividad debe presentar un grado de anormalidad, esto es, que exceda el margen de tolerancia que resulta admisible de acuerdo a las reglas de la experiencia, lo cual debe ser analizado, de manera casuística, por el juez. El segundo punto que requiere algún tipo de comentario es en cuanto al sujeto que deviene obligado en virtud de una actividad considerada como peligrosa. Como ya se indicó, el criterio de imputación es, precisamente, el riesgo creado, lo que hace suponer que la persona a quien se le imputa el daño debe estar en una posición de dominio respecto de aquel, es decir, debe ser quien desarrolla la actividad o asume las posibles consecuencias negativas asociadas, recibiendo un beneficio de ello. Este puede ser directo, el cual se puede identificar, entre otros, con los ingresos o emolumentos obtenidos a título de contraprestación, o bien indirectos, cuando la situación de ventaja se da en forma refleja, que podría ser el caso de mecanismos alternos que tiendan a atraer a los consumidores, y en consecuencia, deriven en un provecho económico para su oferente. Es importante mencionar que en una actividad es dable encontrar distintos grados de riesgo, los cuales deben ser administrados por aquel sujeto que se beneficia de esta, circunstancia que ejerce una influencia directa en el deber probatorio que le compete, ya que resulta relevante para determinar la imputación en el caso concreto. Lo anterior, aunado a la existencia de causales eximentes demuestra que la legislación en comentario no constituye una transferencia patrimonial automática." .

I X .- Alcances del régimen de responsabilidad regulado en la Ley No. 7472. Resulta claro entonces que la norma de responsabilidad aplicable a la especie es el precitado ordinal 35 de la Ley No. 7472, que a su tenor literal precisa: "ARTÍCULO 35.- Régimen de responsabilidad. El productor, el proveedor y el comerciante deben responder concurrente e independientemente de la existencia de culpa, si el consumidor resulta perjudicado por razón del bien o el servicio, de informaciones inadecuadas o insuficientes sobre ellos o de su utilización y riesgos./ Sólo se libera quien demuestre que ha sido ajeno al daño./ Los representantes legales de los establecimientos mercantiles o, en su caso, los encargados del negocio son responsables por los actos o los hechos propios o por los de sus dependientes o auxiliares. Los técnicos, los encargados de la elaboración y el control responden solidariamente, cuando así corresponda, por las violaciones a esta Ley en perjuicio del consumidor." La correcta comprensión de la norma permite concluir sobre la naturaleza objetiva de este régimen de responsabilidad, que por tal, prescinde de la consideración de factores subjetivos, como el dolo o la culpa grave. Segundo, es necesario acreditar la existencia de una conducta lesiva, activa u omisiva, esto significa que debe presentarse por parte del comerciante o proveedor una violación de los derechos del consumidor o bien de sus obligaciones. Es claro que para que sea posible la imputación de responsabilidad, debe demostrarse la existencia de un daño efectivo, evaluable e individualizable, que sea consecuencia de las conductas del comerciante (presunto responsable). Esto implica, la acreditación de un nexo de causalidad entre esa lesión y el comportamiento del proveedor de servicios o bienes. Ahora bien, en el contexto del régimen jurídico aplicable al caso de este tipo de relaciones de consumo, el numeral 35 de la Ley No. 7472 establece la posible liberación de responsabilidad a quien demuestre la ajenidad con el daño. Por aplicación supletoria del artículo 190 de la Ley General de la Administración Pública (conforme a la remisión que estatuye el canon 71 de la Ley de Promoción de la Competencia y Protección Efectiva del Consumidor), las causas eximentes de responsabilidad allí previstas, son de plena aplicación a esa materia. Desde luego que a tono con la carga dinámica de la prueba, corresponde a quien pretende liberarse de una obligación, acreditar lo hechos liberatorios, impeditivos o modificativos del derecho que se pretende ejercer en su contra. Sobre el tema de carga de la prueba en este tipo de procesos, puede verse el considerando IV de la sentencia 300-2009 de la Sala Primera de la Corte Suprema de Justicia. Así las cosas, resulta determinante establecer en este proceso, la convergencia de los diversos supuestos referidos que permiten hacer surgir la responsabilidad objetiva del ente bancario, como lo alega el accionante, o si por el contrario, se ha configurado algunas de las causas eximentes de esa responsabilidad que permita tener al Banco como ajeno al daño que se reclama en esta sede .

X - Análisis del caso concreto. Sobre la responsabilidad objetiva del Banco Nacional. Acreditación del daño y nexo causal. En la especie, se ha tenido por acreditado, que la empresa Bahía Pez Vela Administration S.A. tiene dos cuenta s corriente con el Banco Nacional de Costa Rica, la número 100-01-015-006077-5 en colones y la número 100-02-015-600387-8 en dólares, siendo que en esas , en el período comprendido entre el 10 y el 14 de marzo de 2008 , se realizaron una serie de débitos por transferencias electrónicas, para un total de cuarenta y dos transferencias a favor de varias cuentas pertenecientes a otros clientes del mismo Banco demandado ( ver detalle del informe del Supervisor de Seguridad del Banco accionado visible a folios 1 al 4 del expediente administrativo ), por un total , según dicho informe de ¢19.500.000.00 ( diecinueve millones quinientos mil colones ). Según se indicó, l os débitos fueron realizados desde direcciones IP propias del País, en máquinas no vinculadas con el propio Banco demandado y que, la parte actora niega contaran con su anuencia, pues tanto ante la misma institución bancaria, como ante el Organismo de Investigación Judicial, manifestó que fue la contadora de la empresa la que se dio cuenta de los faltantes al consultar el sistema de internet a los efectos de realizar algunas operaciones, razón por la cual el mismo 14 de marzo de 2008 procedió a dar parte al Banco, solicitando la investigación respectiva. Como efecto de la denuncia presentada por el representante de la empresa afectada, el Supervisor de Seguridad del Banco Regional Guanacaste-Puntarenas en oficio BRGP-005-2008 de 7 de abril de 2008, entre sus conclusiones indicó : "... dado que en el registro transaccional que identifican al titular de la cuenta, como autor de las transferencias sospechosas reportadas, figuran los datos que identifican al titular de la cuenta, como autor de las mismas. Lo cual que (sic) refleja que lo ocurrido no obedece a una violación de los sistemas de seguridad del banco, si no a una falla del ususario. Por lo tanto se recomienda, salvo mejor criterio de su parte declinar el presente reclamo administrativo, rechazando en todos sus extremos la pretensión de reintegro de los fondos... " (folio 1 del expediente administrativo) . Sustentado en ello, el Director de Banca Regional Guanacaste-Puntarenas del Banco Nacional de Costa Rica, mediante oficio BRGP-142-2008 fechado 9 de abril de 2008, le comunicó al señor Brenes Cabalceta sobre la investigación realizada en el caso denunciado, entre otras cosas le indicó que los movimientos no fueron realizados desde ninguna máquina relacionada con el Banco y que de acuerdo a las direcciones IP de donde se ejecutaron son servicios que brinda el ICE, Racsa, Cable Amnet y Cable Tica, por lo que no obedece a la violación de los sistemas de seguridad del banco, sino a una falla del usuario, razón por la cual se rechazaba el reclamo (Folios del 5 al 7 del expediente administrativo). Ante lo cual el representante de la empresa Bahía Pez Vela Administration S.A. , planteó el 22 de abril de 2008 recursos de revocatoria y apelación en subsidio contra lo resuelto en oficio BRGP-142-2008, alegando que la empresa fue objeto de una acción de terceros que abusando del sistema de manejo electrónico de fondos que tiene el Banco Nacional (Folio 11 al 20 del BRGP-163-2008 de 30 de abril de 2008, y el de apelación por parte de la Junta Directiva General en artículo 10, de la sesión N° 11.497 del 26 de agosto de 2008, aduciendo que el daño patrimonial ocasionado no ocurrió por una conducta desplegada por el Banco, sino por la negligencia de un representante o autorizado en la cuenta, quien debió revelar los datos necesarios para tener acceso a la cuenta y realizar las transferencias de dinero de la cuentas a varias personas, (Folios 21 y 23 respectivamente del expediente administrativo). No obstante haberse dado el agotamiento de la vía administrativa, el representante de la empresa afectada, el 28 de julio de 2009 presentó nuevamente el reclamo administrativo ante la sucursal de Liberia del Banco Nacional de Costa Rica, solicitando el pago de $40.000 que indicó fueron sustraídos de sus cuentas (Folio 40 y 41 del resultado. Del cuadro fáctico anteriormente descrito, este Tribunal extrae con claridad que ha exist ido una relación de consumo entre el Banco Nacional y l a empresa accionante, con lo cual le es aplicable al caso lo dispuesto en el artículo 35 de la Ley No. 7472 , tal y como se ha indicado. A demás, se ha podido constatar un daño a los d erechos del consumidor que se concreta por el riesgo producido por la utilización de la plataforma tecnológica del servicio de internet bankin g ofrecido por el ente bancario , ocurriendo un daño en la esfera patrimonial del accionante, consistente en la sustracción no autorizada de dinero de sus cuentas, según se determina en el estudio que realizó el Banco con ocasión de las transferencias realizadas entre los días 10 al 14 de marzo de 2008 de las cuentas en dólares y colones de la empresa aquí actora . Si Bien el Banco demandado intenta indicar que no es suya la responsabilidad, lo cierto es que la lesión sufrida debe considera rse como consecuencia de la falta de implementación de mecanismos de seguridad adecuada para la utilización de los servicios de transferencias electrónicas que se posibilitan en internet bankin g, servicio que ofrece el Banco Nacional de Costa Rica, como en este caso, a la empresa Bahía Pez Vela Administration S.A. Así las cosas, es manifiesto el nexo nexo causal que es debido para poder imputar la responsabilidad en este tipo de situaciones. C omo se indicó, c abe resaltar que el representante de la empresa afectada, una vez conocido de las sustracciones procedió a denunciarlo tanto ante el Banco que le ofrecía los servicios, así como a las autoridades de polícía, en este caso al Organismo de Investigación Judicial, ambas en fecha 14 de marzo de 2008, siendo que las operaciones realizadas indebidamente a sus cuentas lo fueron entre el 10 y el día 14 de marzo de ese año, lo que evidencia la atención pronta del afectado.

X I .- Análisis sobre la existencia de causas eximentes en el caso . C omo se indicó en líneas anteriores, es el proveedor o comercializador del servicio de internet Banking, en este caso el Banco Nacional de Costa Rica, el que podría librarse de su reponsabilidad objetiva derivada de la aplicación del artículo 35 de la Ley 7472, solo cuando acredite (pues es su carga probatoria) la ajenidad del resultado lesivo, sea que en el caso medió la c ulpa de la víctima, hecho de tercero o bien, la fuerza mayor. El banco aleg ó, incluso como excepción de fondo, la concurrencia de culpa de la víctima, y como consecuencia de ello la participación de terceras personas. En efecto, la posición asumida por el Banco al contestar la demanda, lo es sustentado en el voto salvado del Juez Palacios Garcia a la sentencia 910-2010 de la Sección IV de este Tribunal, en el cual entre otros aspectos se detemina que en cuanto a la obtención de las claves y contraseñas necesarias para realizar las transacciones, se hace necesario determinar, ya sea que ello obedeciera a la impericia del banco o de sus funcionarios; o que un tecero haya utilizado medios informáticos para obtener de forma directa del cliente los datos necesarios a fin de accesar al sistema. No obstante, esta integración del Tribunal, mantiene su postura en cuanto a que la carga de la prueba en este tipo de casos, sigue siendo de la institución bancaria, de allí que, si ésta mantiene, como lo hace en este caso, la idea de la existencia de una supresión de su responsabilidad ya sea por la propia intervención del cliente que con descuido dejó sus datos en manos de terceros, o que el banco mismo no tuviera responsabilidad, son aspectos que, a efectos de su exención, deberá comprobar en los autos. Al respecto, se debe indicar que en la contestación a la demanda no se ahonda en el tema, y hace referencia al informe de investigación realizado con ocasión de la vicisitud acaecida a la empresa actora, por lo que se hace necesario analizar lo allí dispuesto. Así, en oficio BRGP-005-2008 de 7 de abril de 2008, el señor Gilberth Marchena Viales, Supervisor de Seguridad del Banco Nacional de Costa Rica, al analizar el caso, hace referencia a que en la normativa interna de la institución y en el contrato suscrito, el cliente se comprometió a conservar sus documentos de identificacción como clave (pasword), el código de usuario y otros datos personales necesarios para acceder al sistema informático, pero lo cierto es que en ningún momento se identifica algún motivo, circunstancia u otro dato para que de forma consecuente, concreta y determinada, se pueda concluir que efectivamente empleados o personeros de la empresa afectada cometieran por acción u omisión un descuidado uso de la documentación de identificación para usar el sistema, solamente parten de una suposición, ello derivado, a su entender, de que las transacciones no se dieron desde ninguna máquina del Banco, ni sus empleados, y que las direcciones IP utilizadas corresponden a sujetos ajenos a la instiución. Esta derivación no puede ser tomada en cuenta en un caso como el que nos ocupa para trasladar la responsabilidad al cliente o un tercero, pues los datos con los que se cometieron las transferencias no autorizadas, bien pudieron haber obtenidos de los mismos registros bancarios por la falta de controles en el sistema informático, lo que no se descarta en ningún momento con lo indicado en el informe de investigación mencionado, pues bien es sabido que, los llamados "hackers" podrían perfectamente haber incursionado en los sistemas y haber obtenido de allí los datos necesarios para haber realizado las transacciones que afectaron finalmente las cuentas que la empresa Bahía Pez Vela mantiene con la institución financiera. De hecho, como se indicó, en informe no es contundente en ese sentido, sino que parte de supuestos, incluso, al resolverse en este caso la apelación planteada, la Junta Directiva General del Banco Nacional de Costa Rica, mantuvo la conjetura, pues en el artículo décimo de la sesión 11497 del 23 de agosto de 2008, aseguró que; "...el daño patrimonial ocasionado a la recurente, no ocurrió por una conducta desplegada por el Banco Nacional de Costa Rica, sino por una conducta negligente realizada por un representante o autorizado para el acceso a la cuenta, lo que a la postre implicó la transferencia de dinero a las cuentas de varias personas..." Sea que, sin ninguna prueba, el Banco en aras de librar su responsabilidad, asevera que fueron los personeros o trabajadores de la empresa afectada la que por "negligencia" revelaron los datos. Se insiste, el Banco no puede solamente indicar que ha manejado bien los datos a lo interno y sin mayor probanza simplemente indicar que si no fue la institución debe ser el cliente el responsable, argumento que resulta totalmente desprovisto de fuerza probatoria y por ende debe ser desechado como elemento a toma en cuenta en la posible eximenta de la responsabilidad objetiva que de estos casos deriva, pues lo indicado de esa forma no tendría el mérito para ser tomado como prueba fehaciente de su accionar informático sin vulneración, ni mucho menos imputar una falta a otros sin contar con respaldo para ello. En efecto , un análisis a fondo de las diversas pruebas que constan en autos, no permiten concluir sobre conductas imprudentes o negligentes de l a cuentacorrentista que permitan supone r que puso en conocimiento de terceras personas, información relevante para el acceso a sus cuentas. Además, de la investigación técnic a que fue agregad a al realización de las transferencias objeto de conflicto. Por lo que n o puede desprenderse en la especie la concurrencia de culpa de la víctima al no haber sido diligente en la custodia de los medios de acceso a la herramienta Internet Bankin g (datos sensibles en su poder) , y además, e l Banco no pudo demostrar en este proceso que el daño fuera ajeno a su marco de acción y previsiones. Tampoco se ha logrado acreditar que los sistemas de seguridad del banco hayan funcionado de forma adecuada o que no haya existido una falla en los sistemas de seguridad de la entidad bancaria demandada. Por otra parte, no fueron aportados elementos de convicción necesarios para acreditar el hecho de un tercero como causa de exclusión de la responsabilidad del Banco. Si bien se detecta que las transferencias fueron realizadas desde direcciones IP localizadas en el país , lo cierto del caso es que en lo medular, se insiste, el ente accionado no acreditó que sus sistemas de seguridad no hubieran sido vulnerados de manera que un nivel de seguridad y mínimo riesgo por el uso de los servicios electrónicos. No podría sostenerse que la carga de la prueba respecto de la vulnerabilidad de esos mecanismos o sistema de seguridad informática pese sobre el actor, pues en sentido contrario, su carga probatoria debe estar dirigida a la demostración de la existencia de una o varias circunstancias que impidan el surgimiento de la tantas veces mencionada responsabilidad civil, la cual por ley pesa sobre esa institución bancaria. Así las cosas, sería impensable pretender desplazar esa carga de la prueba, a fin de que el usuario de los servicios bancarios ofrecidos por el Banco Nacional de Costa Rica, sea quien deba conocer en detalle todos los sistemas de seguridad de ese banco, y a partir de ahí, demostrar además la existencia de alguna fisura. Tal posición no implica la imposibilidad de demostrar la existencia de una culpa de la víctima o el hecho de un tercero, en el marco del comercio electrónico bancario. Cabe destacar, es el demandado quien diseña y condiciona el acceso a los sistemas utilizados en el marco de la herramienta denominada Internet Bankin g , razón por la cual, cuenta con la posibilidad de establecer cuantos sistemas de seguridad estime oportunos, a fin de garantizar que las transacciones sean hechas por su cliente, y no sólo por alguien que tenga a su disposición datos sensibles de ese usuario. En este sentido, es el ente bancario, que lucra con los servicios financieros ofrecidos, quien ha de asegurarse la utilización de sistemas informáticos y administrativos, que desde el punto de vista jurídico, permitan con certeza, la acreditación de la identidad física del usuario, verbigracia, el establecimiento con carácter de obligatorio de los dispositivos OTP, o incluso, valorar en el marco de su autonomía administrativa, el establecer la utilización de dispositivos que reduzcan los riesgos y acrediten con un mayor grado de certeza la identidad del cliente, tales como las herramientas biométricas, esto a fin de contar con sistemas que permitan la pre constitución de prueba. En esta dirección ha considerado la Sala Primera de la Corte Suprema de Justicia:"No obstante lo anterior, debe tomar en cuenta la entidad financiera demandada que su función esencial es la intermediación financiera, que incluye la captación de fondos provenientes del ahorro del público, concepto que lleva implícita su custodia, tanto desde el punto de vista físico, como del registro electrónico correspondiente. No cabe duda que se encuentra sometida a una ineludible obligación de garantizar la seguridad de las transacciones realizadas, ya sea en ventanilla o mediante cualquier otro medio puesto a disposición de los clientes, la cual debe abarcar, necesariamente, el uso de todos aquellos mecanismos disponibles que le permitan contar con un mayor grado de certeza en cuanto a la identificación de las personas que se encuentran facultadas para realizar transacciones electrónicas desde las cuentas. La responsabilidad que le fue imputada al Banco se fundamenta, no en la sustracción del dinero por un tercero, sino en la existencia de un riesgo, según lo expuesto en el considerando III, en el funcionamiento propio del servicio que ofrece, lo que permite imputar el origen del daño al funcionamiento del servicio. Lo anterior, a pesar de disponer de mecanismos que permiten mayor seguridad. (...) Al fin y al cabo, los bancos, sin que el demandado sea la excepción, custodian y administran, entre otros, un bien ajeno; y no cualquier bien, sino fondos del público. Así las cosas, no solo responde por la fortaleza de sus sistemas internos, sino también por la seguridad de quien, para llegar allí, utiliza los únicos canales posibles que el propio Banco conoce y reconoce como riesgosos. Y responde no en cuanto ajenos, sino en la medida en que constituye el medio del que se prevalece, directamente, para la prestación del servicio. Tal y como lo preceptúa el numeral 35 de la Ley de Protección al Consumidor, ha habido un perjudicado en razón del servicio, que al ser utilizado (y en vista de su carácter riesgoso) produjo una lesión importante a quien figura en el proceso como parte actora. (...) El medio para acceder a la plataforma del Banco no se trata, por ende, de un foco ajeno de riesgo, sino de un instrumento consustancial al servicio que presta; si se quiere, forma parte intrínseca de la actividad, que si bien es accesorio a la actividad del intermediario, resulta imprescindible. De allí que los mecanismos de garantía al cliente –usuario-, deben darse no solo dentro de los muros informáticos del propio Banco, sino también en el camino de acceso a él como parte del servicio. No en vano, el Sistema Financiero se ha abocado, en general, a la implementación de mecanismos de doble identificación, al mejoramiento de las claves y, en general, el uso de sistemas recientes como la utilización de tockens, claves cambiantes, llaves con dispositivos especiales, entre otros." (Resolución No. 300-2009 precitada) Dicha referencia pone en evidencia que la vulnerabilidad del sistema no es un asunto que deba acreditar el cuentahabiente, por el contrario, dada la actividad que realiza, el lucro que obtiene por ese giro comercial y al constituirse un medio que permite la agilización de las transacciones derivadas de la cuenta corriente, contrato que supone una custodia de fondos del público, es el ente financiero quien debe acreditar que sus sistemas de seguridad cuentan con el grado de seguridad aceptable y que en cada caso concreto, no fueron vulnerados. En la especie, fue precisamente la falencia de mecanismos de seguridad la que generaron la concreción de un daño en contra de l a empresa actor a , consistente en la sustracción de un monto de dinero, el cual ha sido reconocido por el Banco en ¢19.500.000,00 ( diecinueve millones quinientos mil colones ) , pero para la demandanete es de $40.000.00 (cuarente mil dólares), producto de v arias transacciones realizadas a favor de otros cuentacorrentistas del mismo Banco Nacional de Costa Rica. Ello supone un daño del cual, el ente bancario no ha logrado desvincularse al no haberse acreditado la ajenidad con el daño ni la concurrencia de alguna de las causas eximentes que le permitirían liberarse de esa responsabilidad objetiva que impera en materia de relaciones de consumo.”