Electronic banking fraud ruling: exemption from liability due to third-party actionFallo por estafa bancaria electrónica: eximente de responsabilidad por acción de un tercero

CONOCIMIENTO ACTOR/A:

LEDA MARÍA CALVO GÓMEZ DEMANDADO/A:

BANCO NACIONAL DE COSTA RICA (BNCR) No. 2025009050 TRIBUNAL CONTENCIOSO ADMINISTRATIVO Y CIVIL DE HACIENDA, SEGUNDO CIRCUITO JUDICIAL, SECCIÓN SEGUNDA (EQUIPO DE TRABAJO DOS) SAN JOSÉ, GOICOECHEA, at eleven hours and sixteen minutes on the eleventh of September of two thousand twenty-five.- Ordinary proceeding, filed by LEDA MARÍA CALVO GÓMEZ, of legal age, married, merchant, with identity card 1-488-779, resident of Tres Ríos, Cartago; against BANCO NACIONAL DE COSTA RICA (hereinafter the Bank or BNCR). Appearing as authenticating attorney is Licda. Dayana Badilla Jarquín. Representing the interests of the defendant entity is Lic. Andrés José Bogarín Bustamante (images 2, 83, and 109, all from the judicial file, as well as the audio recordings of the supplementary hearing). The legal prescriptions in the processing of the proceeding have been observed and no defects or omissions capable of producing nullity of the actions taken and resolved are noted; therefore, after deliberation of Law, the Tribunal composed of judges Rodolfo Marenco Ortiz, Eduardo González Segura, and Lourdes Vargas Castillo—who was assigned to preside—proceeds to issue the judgment with the unanimous vote of its members.

Drafted by Judge Vargas Castillo.

CONSIDERANDO

I. PROCEDURAL BACKGROUND

1. This complaint was filed on May 10, 2023. The claims of the proceeding are visible in image 57 of the judicial file and were thus established in the preliminary hearing that took place on April 30, 2024: "By virtue of the foregoing and in accordance with articles 122 et seq. of the Código Procesal Contencioso Administrativo, 190 of the Ley General de la Administración Pública, 31, 35 and 35 of the Ley de Promoción de la Competencia y Defensa Efectiva del Consumidor, I request that the objective liability of the Banco Nacional de Costa Rica be declared, and that it be ordered to reimburse (sic) the stolen sum of ELEVEN THOUSAND TWO HUNDRED SIXTY-NINE DOLLARS AND SEVENTY-TWO CENTS, with its due indexation and interest calculated from the date of its theft to its effective payment. Likewise, that the defendant be ordered to pay both costs" (image 57 and 110 of the preliminary hearing minutes).

2. By order issued at ten hours ten minutes on August 11, two thousand twenty-three, the proceeding was deemed established against the Bank (images 59 to 61).

3. BNCR's representation answered the complaint negatively. It raised the defense of lack of right, considering that the exoneration from liability for fault of the victim and act of a third party applies in this case. It requested that the complaint be dismissed and that the plaintiff be ordered to pay both costs of the proceeding (images 73 to 83).

4. A preliminary hearing was held on April 30, 2024, with the presence of all parties to the proceeding. The parties indicated they had no cleanup matters, the claim was established in identical terms to those stated in the complaint, and no preliminary defenses were raised. Facts 2 through 10 and 12 were determined as disputed facts. Documentary evidence was admitted: from the plaintiff, that offered in images 2 to 44, and the administrative file provided by the defendant Bank, as well as a single employee witness, Mrs. Marcela González Moreira with identity card 0114160557 (images 109 to 112).

5. On July 17, 2024, this file was assigned for Trial, as recorded in image 118 of the judicial file. By order at seven hours fifty-eight minutes on July 22, two thousand twenty-four, a supplementary hearing was convened. The summons order for the witness was issued on January 10, 2025 (images 120 to 122 and 126).

6. The supplementary hearing took place on September 1, 2025. The aspects of its development are set forth in the minutes visible in images 150 to 154 of the judicial file.

7. With the entry into force of the virtual desk, the processing of this file has been substantiated in this venue electronically, therefore the foliation of the electronic document generated as a single PDF file, obtained from the Virtual Desk with the options "Descending Order" and "View Document Description (PDF)" unchecked and with the option "View File Cover Details" selected in "Final," which includes a total of 162 images as of the date of issuance of this resolution, will be used as reference. This record is made in order to identify all the images that make up the file and their foliation.

II.ARGUMENTS OF THE PLAINTIFF. From the factual account set forth in the complaint, she states that she is the holder of the dollar account CR90015117320020056591 (200-02-173-005659-3) with Banco Nacional. She recounts that on August 7, 2022, between 9:30 a.m. and 10:30 a.m., she went to the Bank's ATM, Sabanilla branch, to withdraw cash; however, despite using the same PIN as always, she could not do so due to an error alert. This happened on a Sunday, so on Monday, August 8, 2022, she went to the same Bank branch, and a platform employee named Tatiana—whom she stated she knew from previous occasions—reviewed her account and told her she would reset the data in the system and give her a new PIN, recommending she return if the PIN did not work. She asserted that, strangely, the day after her visit, that is, on August 9, 2022, she received text messages from telephone number 6222-6606 via the WhatsApp platform, with information related to the Bank indicating that the Fraud Monitoring and Prevention Department would contact her that same day; coupled with insistent calls from the same telephone number between 11:39 and 11:43 hours, she explained that she did not answer the calls or messages because she did not have her cell phone at hand. She indicated that on August 9 at 12:03 p.m., she received a call from telephone number 2211-2003; the person identified themselves as staff of the Fraud Department of Banco Nacional, gave her personal information, and asked if she was making a transaction with a person from Aguas Calientes de Cartago; upon indicating that it was not her, they told her they would proceed to block the account because she was being the victim of fraud. They asked her for the nearest agency, to which she replied Sabanilla, and they gave her an appointment with Mrs. Xinia Naranjo Cruz, a presumed Bank employee. She asserted that she immediately called Banco Nacional in Sabanilla from her home telephone, which is 2273-4597. They informed her that no one by that name worked at that branch and proceeded to review her account, verifying that there were several transactions totaling 10 thousand colones. She requested at that time that they block her account. She added that at 1:38 p.m., almost forty minutes after the call she made to the Sabanilla bank branch, she received a call from telephone 2211-2000; the person identified herself as the employee who had previously attended to her, to inform her that the transactions had been in dollars, not colones. Upon such news, she went immediately to the Bank, and they informed her that three transactions had been made from her account to that of a person she does not know for a total of eleven thousand two hundred sixty-nine dollars and seventy-two cents, thus exceeding the limits of automated transfers per day, and that she never provided either a token or a dynamic key. She added that, after learning what had happened, she accessed her email, and the same day as the WhatsApp messages, she received emails from the account [email protected] at 10:32 and 10:38 a.m. On August 10, 2022, she filed a formal claim with the Bank for the stolen funds. They told her an internal investigation would be conducted. On August 10, 2022, she filed a complaint with the Organismo de Investigación Judicial, to which file number 22-021597-0042-PE was assigned. She considers that it was a breach of the defendant banking entity's systems without the stolen sum being recognized as a benefit or yield to her to date. She added that every time she logs into the platform, they send her an email, something that did not happen before, and which she believes could have prevented the fraud. LEGAL BASIS FOR THE MATTER: (transcription) On objective liability, article 35 of the Ley de Libre Competencia y Defensa Efectiva del Consumidor, 190 et seq. of the Ley General de la Administración Pública. By way of necessary introduction, it is essential to conduct a brief analysis on the topic of objective liability. In matters of patrimonial liability, there are two broad divisions: subjective and objective. In the former, under the terms of article 1045 of the Civil Code, the demonstration of intent or fault (dolo o culpa) on the part of the subject causing the harmful act is required as an indispensable prerequisite. Unlike subjective liability, objective liability dispenses with such proof and is limited only to verifying the existence of damage to be repaired. The Colombian jurist (sic) Gilberto Martínez Rave conceptualizes objective liability as follows [makes citation]. Thus, liability for created risk, or objective liability, is established when the author of the harmful act benefited from the creation of a dangerous source; therefore, the element of fault is left out of the aspects evaluated. In Costa Rica, we lack a general outline of the cases in which we are facing objective liability; however, it has been established in situations contemplated by law. Before the enactment of the Ley de Libre Competencia y Defensa Efectiva del Consumidor, common cases came from labor and environmental matters. Another aspect that must be analyzed before discussing the merits of the matter is the burden of proof before objective liability. There is a robust jurisprudential line establishing that the "onus probandi" corresponds to whoever is in a better position to provide evidentiary elements. Thus, under the objective liability regime, the plaintiff must only prove the damage suffered and the causal nexus (nexo de causalidad), and the defendant must prove the concurrence of any of the exonerations from liability, specifically fault of the victim, the act of a third party, or force majeure. In this vein, article 35 of Law No. 7472 stipulates an objective liability regime in favor of the consumer, by ordering that one must respond for the damage caused regardless of the existence or not of fault. Upon dissecting the cited provision, a series of assumptions that must concur for its application emerge. Let us see: regarding the participating subjects, it is required that whoever causes the damage must be a producer, provider, or merchant, regardless of whether it is a natural or legal person. As for the injured subject, they must hold the status of consumer within the consumer relationship, where the essential object of said relationship is the acquisition, enjoyment, or use of a good or service. Finally, the legislator established a series of criteria for attributing objective liability, within which the theory of risk is stipulated. Said theory essentially proclaims that whoever creates, exercises, or benefits from a lawful lucrative activity that contemplates potential dangers for others must also bear its possible drawbacks. As a corollary of the above, it is verified that the damages caused to the patrimonial sphere of the holder of a bank account, in accordance with Law No. 7472, are subject to the criterion of objective liability; to this effect, see vote number 300 at eleven hours twenty-five minutes on March 26, two thousand nine, issued by the Sala Primera de la Corte Suprema de Justicia [makes citation]. In addition to the above, the Ley General de la Administración Pública, starting from article 190, contemplates the liability regime of the Administration, introducing the concept of objective liability of the State. Likewise, it establishes that the entirety of the administrative function can generate liability, no longer considering the concept of "fault" but rather the concept of "damage." Given the objectivity of our liability system, the verification of the damage in relation to the activity deployed is such that the assumptions to be examined below may occur, reviewable to determine whether or not administrative liability exists. We have, then, that the liability system existing in our environment is objective and does not attend to the fault of the author of the harmful act, but to the mere verification of the damage, which becomes the central assumption for administrative liability to arise, which must be, above all, compensable, effective, assessable, individualizable, and attributable to the Administration, so that the necessary causal nexus between the administrative action and the injury caused can exist. This has its reason for being in that the Administration's liability is constituted without considering the notion of fault, the subject causing the damage not mattering, but rather the existence of an injury or damage, which must be effectively compensable. This topic has been widely addressed by national jurisprudence. Each of these assumptions is inevitably necessary for liability for the Administration's action to operate. Therefore, the absence of any of them nullifies the existence of compensable damage. It is also held that the compensable damage must be reproachable to the Public Administration, that is, it must be possible to legally attribute the harmful act to the administrative action; this means it must be attributed to an administrative entity or body, whose natural function in this case is the banking service, and that on the occasion of the provision of that obligation, damage was caused. This liability can arise from abnormal functioning of the service (fault or illegality attributable to an identified or anonymous agent, part of the administrative body), providing a service to which it is obligated by the legal system but that produces damage or injury (culpa in commitendo), or if it has not functioned perfectly but causing the same result (culpa in ommitendo), or from normal functioning, which are eventual or incidental damages caused by lawful actions of the Administration. Therefore, in addition to the damage (effective, assessable), imputability is configured as an essential element of administrative liability in order to point to the Administration as responsible. But in addition to the foregoing, there must be a causal nexus between the act or omission of the Public Administration and the damage caused. In other words, the causal nexus exists between the administrative action and the harmful or injurious result, a prerequisite for the application of liability and compensation for the Public Administration's action. Thus, it falls to this representation to prove the indemnifiable damage and its causal nexus with the defendant banking entity, in order to substantiate the objective liability claimed. ON THE CASE UNDER STUDY. In the sub lite, my client, trusting in the suitability of the money custody service offered by the defendant, deposited her personal savings. However, its electronic system was sabotaged, we do not know if with (sic) the help of employees or not, but through telematic means, they managed to access my account and extract my assets. It is worth noting that movements were even made for very high sums, exceeding the normal limits in the use of the account. It is evident that we are facing a liability regime of the defendant, who, by not having the necessary security measures, these were breached, causing economic damages to the undersigned. Thus, the undersigned suffered serious economic harm; specifically, they stole the monetary sum of ELEVEN THOUSAND TWO HUNDRED SIXTY-NINE DOLLARS AND SEVENTY-TWO CENTS ($11,269.72), money that was under the custody of the defendant banking entity, whose security systems were breached. In addition to the above, a deficient performance by the defendant is denoted, who, upon verifying the respective abnormal movements in the savings account, even after my client's immediate call to block them, the monies left the account..." (images 45 to 58).

III.ARGUMENTS OF BANCO NACIONAL DE COSTA RICA. Regarding the facts of the complaint, it accepted the first, rejected the second. Regarding the third, it indicated: "This fact is rejected since there is no record in our records of the plaintiff's visit to the Sabanilla agency. Despite the foregoing, through a query to the SFB (Sistema Financiero Bancario) tool, it is accredited that the user assigned to collaborator Tatiana Morales Céspedes applied a magnetic stripe cleaning to the Servibanca card ending in 7419, which is performed when the client indicates that they know the PIN but it does not work at the ATM because, for some reason, they encounter problems withdrawing money at the ATM and/or errors in purchases via datafono. It is clarified that Mrs. Calvo Gómez has two Servibanca cards in her name ending in 7419 and 7514." Regarding the fourth fact, it stated: "This fact is rejected as it is not within our knowledge. Likewise, upon verification of the different systems such as SFB (Sistema Financiero Bancario), SIP (Sistema Integrado Plataforma) Cliente Servicios, Módulo Administrativo IB, in a query made using identity card number 1-0488-0779, no inclusion of contact number 6222-66-06 is detected in the name of Mrs. Leda Calvo Gómez; the User Support department was consulted as to whether said number is registered in anyone's name as a financial alert, receiving the response that there are no financial alerts related to number 6222-66-06." It rejected the fifth, sixth, and seventh facts. Regarding the eighth fact, it clarified: "In sequence with the account of the facts by the plaintiff CALVO GÓMEZ, she states 'I went immediately to Banco Nacional, Sabanilla branch…' this would have occurred on August 9, 2022, however, the attention and application of the fraud protocol dates from August 11, 2022. Regarding the assertion that the limits were exceeded, the daily limit is seven million five hundred thousand colones, and the sum of the claimed amounts in colones does not exceed said limit." Regarding the ninth fact, it explained: "Banco Nacional's email addresses do not end in @gmx.com, but rather use @bncr.fi.cr." Regarding the tenth fact, it indicated: "The client filed her claim on August 11, 2022 (see folio 55 of the administrative file). The investigation carried out resulted in report DS-2781-2023 dated October 20, 2023 (see folios 17 to 28 of the administrative file), through which the Dirección de Seguridad e Investigaciones of the bank concluded the following (see folio 28 of the administrative file) (made transcription). As a result of the investigation carried out by the Dirección de Seguridad e Investigaciones, the management of the Sabanilla agency proceeded to reject the claim filed through official letter BNCR-ASG218-2023 dated October 23, 2023 (see folios 12 to 19 of the administrative file). It accepted the eleventh fact, and regarding the twelfth, it stated: "From the security report DS-2781-2023 dated October 20, 2023, it is not indicated that a 'breach' of the bank's systems occurred. What is indicated and accredited in said report is the use of security codes for the Hardware Token change and Software Token affiliation, and the inclusion of favorite accounts (cuentas favoritas). Additionally, the sending of an alert for the inclusion of a favorite account is accredited (see folios 27 and 28 of the administrative file)." LEGAL GROUNDS (transcription). "1. On the alleged liability attributed to Banco Nacional de Costa Rica. The implementation of security mechanisms by Banco Nacional de Costa Rica also requires a greater share of responsibility from the client, who had to use the security devices that the Bank itself made available to her free of charge, and on which the most recent jurisprudence has indicated [makes citation]. From this, it derives that the client has the responsibility to procure the security mechanisms that the Bank makes available to her; therefore, IN THE EVENT OF NON-COMPLIANCE WITH HER OBLIGATIONS, THE BANK WILL BE EXEMPT FROM LIABILITY, as indicated in the cited judgment itself [partially transcribes the indicated resolution]. As a corollary of the foregoing, the Sala Primera de la Corte Suprema de Justicia, through vote 516-F-S1-2009 at ten hours twenty minutes on May 27, two thousand nine, established that the existence of conduct on the part of the victim herself to increase her personal risk in the case of banking transactions translates into an element that breaks the scheme under which the Bank can be held liable. Indeed, the vote states, in what is relevant, the following [makes transcription]. It must be taken into consideration that for the change from hardware token to software token to occur, as well as the inclusion of favorite accounts, the necessary security information must necessarily have been provided so that third parties could enter her Internet Banking user profile from which they were able to make transactions that caused the dispossession of her resources held in said accounts. In the Internet Banking log, two requests for security codes are identified, information that was sent via text message to the cell phone number previously registered by the client: Requests for security codes: • Software Token affiliation or change • Include favorite accounts. It is important to clarify that security codes are necessary to be able to carry out procedures or transactions within the Internet Banking system; if these codes are not entered, the respective process cannot continue, therefore they are considered security elements and confidential data. Finally, the following events in the electronic platforms are also recorded, which are imperative to achieve the materialization of the alleged fraud: • Disable Hardware Token • Enable Software Token • Insert credit accounts • Inclusion of favorite accounts • Add favorite account. The foregoing is verified in security report DS-2781-2023, which accredits the use of security codes (see folios 17 to 28 of the administrative file) sent to the email address and by SMS message to the telephone number that the plaintiff CALVO GÓMEZ registered in person and previously with the Bank for these purposes. The alleged liability of Banco Nacional de Costa Rica is not accredited by the plaintiff, since the efficient cause of the alleged damage was caused by the plaintiff CALVO GÓMEZ by providing the security information that only the plaintiff was obligated to know and manage. The plaintiff is devoid of proof demonstrating a causal nexus between the alleged damage and conduct carried out by Banco Nacional de Costa Rica that would have caused the alleged damage, since the system did not present an abnormality in its functioning and, rather, acted as expected upon the necessary information being provided to carry out the claimed changes and transactions. What is demonstrated is the use of security code numbers to carry out the claimed transactions; which were not provided by the Bank but were rather supplied by Mrs. LEDA MARÍA CALVO GÓMEZ. Note, this respectable Tribunal, that the technical security report DS-2781-2023 establishes that the claimed transactions were carried out with user code 104880779, which is assigned to LEDA MARÍA CALVO GÓMEZ; therefore, for all purposes of the Banco Nacional de Costa Rica system, the transactions were lawful and carried out by the authorized person, since they were made with the security and verification codes sent to the means assigned by the plaintiff, and which should only be known and managed by her. The information leak caused by the plaintiff was exploited by third parties to dispossess the plaintiffs of the funds held in their accounts of which they are holders; it was not due to an abnormal functioning of the service but due to the plaintiffs' omission in failing to follow their information security duties that were provided to them to manage their Internet Banking profile. The foregoing, because the claimed transactions were carried out through the use of information and security elements that are exclusively in the power of the plaintiffs. Mrs. LEDA MARÍA CALVO GÓMEZ, according to her complaint to the OIJ, consciously or unconsciously provided information to third parties who took advantage of said information to dispossess them of the claimed funds. The foregoing constitutes the exoneration from liability: FAULT OF THE VICTIM (CULPA DE LA VICTIMA). This is because Mrs. LEDA MARÍA CALVO GÓMEZ, through her negligent action, allowed criminals to cause the alleged damage. The bank client must assume a series of duties imposed by the exercise of her contractual obligations, under the premise of contractual responsibility and good faith, which were not observed in the specific case, since the plaintiffs did not follow the recommendations that, regarding banking security, my client and its counterparts have communicated in order to protect and safeguard the use of their clients' confidential information, for which purpose it has provided instruments (security codes) aimed at guaranteeing information security. From this scenario, no liability can be attributed to my client, since the plaintiff failed to observe her duties regarding due diligence. From this perspective, the proper course is to uphold the exoneration from liability of FAULT OF THE VICTIM, since the patrimonial damage claimed by the plaintiff occurred due to her own action, as occurred in judgment 4-2022-VIII at ten hours zero minutes on January thirteen, two thousand twenty-two, of the eighth section of the Tribunal Contencioso Administrativo [makes citation]. Thus, and in accordance with all the foregoing, the proper course is to dismiss in all its aspects the ordinary complaint filed by plaintiff LEDA MARÍA CALVO GÓMEZ against my client..." (images 73 to 83).

IV. ON THE EVIDENCE OFFERED FOR BETTER DECISION

The Bank's representation offered, as evidence for better decision, report DS-2100-2025 as an extension of report DS-2781-2023 issued on October 20, 2023 (admitted as evidence), through which the administrative claim filed by the plaintiff was rejected (images 133 to 141 of the judicial file); the extension consists of an update of the technical requirements that the Bank has incorporated in relation to subsequent years. By order at fourteen hours and eight minutes on August 26, two thousand twenty-five, this Tribunal granted a hearing to the plaintiff and ordered that its admissibility would be resolved at the supplementary hearing (image 142). On the day of the oral and public trial, the Bank's representation justified that this report presents an update of the event log that existed in the 2023 report because, at that time, the Bank lacked two systems that it has today, called "Latinea," which allows extracting the email notices that are sent when certain transactions or modifications occur in the clients' transactional profile. The plaintiff's representation opposed its admission; however, it requested that, if it was admissible, a series of emails be admitted that were added to the online management system today, which are basically the communications that the Banco Nacional refers to and which, unfortunately, my client received in her email late at night, after this unfortunate event had already occurred, received on August 9, 2022 (visible in images 146 to 149 of the judicial file). Having granted the Bank's representation the respective hearing, it is resolved: The evidence for better decision refers to a discretionary power that the jurisdictional authority may resort to when there is a point submitted to litigation requiring further information or clarity.

It is necessary to point out that this type of offering cannot be used by the parties to remedy omissions regarding the offering of evidentiary elements, either because they were not offered at the appropriate procedural time. The First Chamber of the Supreme Court of Justice, in ruling 000655-F-S1-2021, at fourteen thirty-five hours on March eighteenth, two thousand twenty-one, stated in this regard "(...) Along these lines, evidence for better judgment (prueba para mejor resolver) is an institute conceived so that the Judge, once the ordinary evidence has been examined, may request that evidence which, although relevant to the process, was not offered by the parties, or which having been offered, was declared impossible to examine, null, rejected as untimely or inadmissible, and even refers to facts deemed true due to the defendant's default. It is a power of the Court and not of the parties, which cannot be used by them to remedy their omissions regarding evidence they could have offered at the appropriate procedural time and did not do so (...)." In the Court's opinion, the evidence offered is considered pertinent and necessary, since the technical report was issued after the filing of the lawsuit and refers to an update of information already admitted. The plaintiff has been able to become aware of it and her right to defense and due process has not been violated; in the same terms, the copies of the emails offered by the plaintiff have been made known to the Bank's representation. Consequently, both the report offered by the Bank DS-2100-202 of August 25, 2025, which updates already admitted evidence, and the copy of the emails presented by the plaintiff, visible in images 146 to 149 of the case file, are admitted as evidence for better judgment (prueba para mejor resolver), as they are conducive and useful for issuing the first-instance judgment, given that the aspects reviewed in both documents refer to the essential and controversial point of this litigation.

V.OBJECT OF THIS PROCEEDING. The plaintiff's representation stated at the supplementary hearing that the lawsuit is rooted in objective liability (responsabilidad objetiva) on the part of Banco Nacional through a created risk, namely the use of internet banking, and that in this specific case, that entity's systems were breached; which culminated in a withdrawal of more than eleven thousand dollars, legal tender of the United States of America, with the Bank allowing "thousands of transactions" to occur—for example, she asserted nine access attempts, five of which were failed—all of which demonstrates the breach of the Bank's system and that an antisocial individual extracted funds from the plaintiff's bank account. She added that, coupled with the breach of the systems, there was a breach of the duty to communicate on the part of Banco Nacional. There was no assertive and rapid communication to alert about this type of abnormal movement, and it only occurred long after the events. In accordance with the factual framework and the claim of this lawsuit, the object of this proceeding is framed within the reproach of damages and losses (daños y perjuicios), which translates into a civil estate proceeding (proceso civil de hacienda) in which compensation is sought for the events set forth; the basis set forth is based, in addition to an alleged objective liability of the Administration (doctrine of articles 190 and 191 of the LGAP), on the objective liability derived from article 35 of Law No. 7472 for the Promotion of Competition and Effective Consumer Defense (Ley N°7472 de Promoción de la Competencia y Defensa Efectiva del Consumidor), due to a consumer relationship. In order to address the basis provided, the Court will set forth a brief reference to the normative principles and jurisprudential development of both regimes and, from that basis, will review the appropriateness of the arguments set forth in the lawsuit and the petitionary extremes to determine whether what is claimed allows for the establishment of the causal link (nexo de causalidad) as an indispensable requirement for the duty to indemnify on the part of the Bank to arise.

VI.PROVEN FACTS. From the review of the factual framework described in the lawsuit and, as derived from the documentary evidence attached to the record, the following is deemed proven.

1. On August 10, 2022, Mrs. Leda María Calvo Gómez filed a "claim for the funds withdrawn from account number 200-02-173-005659-3 CR-90 0151 1732 0020 1565 92", specifically for the following transactions (image 59 of the administrative file).

2. In official communication dated August 11, 2022, the Subgerencia General de Desarrollo y Personas of Banco Nacional Agencia Sabanilla, informed Mrs. Calvo Gómez that her case had been elevated to the Dirección de Seguridad for internal investigation and that the response would be sent to the email address provided "[email protected]" (images 56, 57, and 58 of the administrative file).

3. On August 10, 2022, at 02:57 p.m., Mrs. Calvo Gómez filed a complaint with the Organismo de Investigación Judicial, which was processed under number 014-22-001290 and assigned file number 22-012497-0042-PE, in which she narrated what occurred on August 7 between 9:30 and 10:30 a.m. when trying to withdraw money from the ATM of Banco Nacional Sabanilla branch, and on Monday, August 8, between 12:30 and 1:00 p.m., when she appeared at the aforementioned Bank branch (images 47 to 55 of the administrative file).

4. On December 8, 2022, the Manager of the Sabanilla Branch of Banco Nacional informed the plaintiff via email: "... I inform you that the case entered in the Sistema de Control de Gestiones de la Contraloría de Servicios, for the purpose of channeling it to the Technical Dependencies (sic) that are in charge of the investigation and issuance of a report, is under investigation as of today. As soon as the respective report is sent to us, it will be sent to you via the notification method provided by you; in the event of your disagreement with said response, you have the right to file an appeal for reconsideration (recurso de revocatoria) and/or a subsidiary appeal (apelación en subsidio), as established by Article 346 of the Ley General de Administración Pública. The appeal for reconsideration will be resolved by the dependency that issues the resolution to you, and the appeal will be resolved by the General Management..." (image 38 of the judicial file).

5. By official communication DS-2781-2023 of October 20, 2023, the Dirección de Seguridad e Investigaciones of the defendant Bank sent the Manager of the Sabanilla Office the report on the claim filed by the plaintiff, and this official, in turn, through note BNCR-ASG218-2023 of October 23, 2023, forwarded it to the email address [email protected], to Mrs. Leda Calvo Gómez. The report details that on August 9, 2022, according to the virtual file, three electronic fund transfers (debit) were made: one for $1,803.16 to the account of Ángel de Jesús González and two for the amounts of $2,253.94 and $7,212.62 to the account of González Navarrete Ángel, who in turn transferred funds to the bank account of a third party (at Banco Popular y de Desarrollo Comunal). In the section "Analysis of the transaction log of the Internet Banking service" it details: "According to the records in the Internet Banking event log, access to the system was made through the BN Móvil application, reflecting 9 logins, and via Internet Banking web, 4 effective logins were recorded on August 9, 2022. Furthermore, upon reviewing and analyzing the transactions executed in the affected customer's account on the aforementioned date, it is verified that they were generated with user code 104880770 and its respective access key (defined and known only by the customer), which are in the possession of Mrs. Leda María Calvo Gómez. In the connections made via BN Móvil and Internet Banking web, the injured party had the Hardware Token (HX Token) security level, and subsequently, the Software Token (SW Token) was configured for her [image of connections made is inserted]. In the Internet Banking log, 2 security code requests are identified, which were sent via text message to the cell phone number previously registered by the customer: Security Code Requests: -Affiliation or change of Software Token -Include favorite accounts. Security codes are necessary to carry out transactions or procedures within the Internet Banking system; if these codes are not entered, it would not be possible to continue with the respective process, therefore they are considered security elements and confidential data. These codes were sent to the phone number that the customer had registered [image is inserted]. The following events are also recorded in the electronic platforms that are imperative to materialize the alleged fraud (estafa): -Disable Hardware Token -Enable Software Token -Insert credit accounts -Include Favorite Accounts -Add favorite account (image is inserted). Conclusion: Based on the result of the analysis of the information provided in the event log of the Internet Banking, BN Móvil, Virtual File, and Banking Financial System (SFB) systems, in addition to the documentation provided by the customer for the analysis of her case, it is recommended to reject the compensation request on the part of the customer. To carry out the transactions previously executed, a process where security codes and OTPs were required intervened, meaning they were executed with a second authentication factor; these are personal and confidential data that are exclusively in the possession of the claimant here..." (images 12 to 18, 19, 20 to 31 of the administrative file).

6. By note dated October 26, 2023, Mrs. Leda Calvo Gómez filed an appeal for reconsideration (recurso de revocatoria) and a subsidiary appeal (apelación en subsidio) against official communication BNCR-ASG-218-2023 (image 9 of the judicial file).

7. By note BNCR-ASG-220-2023 of November 6, 2023, the Management of the Sabanilla Branch rejected the appeal for reconsideration (images 5 to 7 of the judicial file).

8. Through report DS-2100-2025 of August 25, 2025, issued by the Dirección de Seguridad e Investigaciones of the defendant Bank, an expansion of the administrative claim filed by Mrs. Leda María Calvo Gómez was made, providing a detailed record of the Online Banking events on August 9, 2022, in the plaintiff's bank account:

a. Access to the system was made through the BN Móvil application (9 logins) and through Online Banking (04 effective logins).

b. The transactions were carried out with the user code (customer's ID number) and access key (which is defined and known only by the customer), information which is the responsibility of the person to safeguard.

c. When the connections were made via BN Móvil and Online Banking Web, the customer had the security level identified as Hardware Token, a mechanism that was deactivated and replaced by Software Token, which shows a modification in the security level applied during the development of the event reported by the customer.

d. Two security codes were sent, which are necessary to carry out transactions or procedures within the Online Banking System, since without these the transaction process could not continue because they are security elements and confidential data. These codes were sent via text message to the cell phone number starting with 84 and ending with 6. One security code request was for affiliation or change to Software Token, and the second was to Include favorite accounts.

e. In the table identified as "Chronology of transactional events Online Banking-BN Móvil Application", it is observed how on August 9, 2022, starting at 11:29:28 hours, different, continuous logins to the electronic platform occurred through two different channels used alternately and requiring different authentication levels: BN Móvil App and Online Banking. The first connection was failed (at 10:43:32). The next four were successful, and the security level that bank account had at that time was Hardware Token, which requested user and password as authentication factors when the BN Móvil App channel was used. When the Online Banking channel was used, it is observed that the authentication factors were user, password, and OTP code. In the sixth connection, a security code was requested, which was sent by the automated system via a text message to the phone number starting with 84 and ending with 6 for affiliation to the Software Token security system. The next transaction or login was to disable the initial security system "Hardware Token" and then enable the "Software Token" system. The ninth login identified by the electronic platform was through the Software Token system, which required user, password, and OTP code as authentication factors. Subsequently, a security code request is recorded to include favorite accounts, a transaction that required a security code which was sent via text message to the cell phone registered in the system as the contact for the customer and plaintiff, which starts with 84 and ends in 6. After that login, the notification to the customer of the inclusion of the favorite account entered in the name of González Navarrete Ángel is reflected, as well as the notification sends to the customer via text message to the number starting with 84 and ending with 46. After including the favorite accounts, three debit transactions are made from the account. The chronology of logins occurred continuously from 11:29:28 until 13:04:05. The report also reflects the notifications that the system or the service platform (Latinia) automatically makes, whether by email (to the account authorized by the customer) or text message to the phone numbers provided by the customer and registered in "Customer Services". In addition to the text messages sent; regarding the event of August 9, the Bank's system automatically generated two emails to the address [email protected], one at 11:51:02 and another at 11:51:02, both informing about the addition of a favorite account, and both delivered to the indicated account (see image 138 of the judicial file or 6 of the comment report). Likewise, the text messages sent to cell phone +50684513046 (registered in the system as the customer's contact) were identified, informing of the inclusion of the favorite account in the name of Ángel de Jesús González N. and of a security code (which is for the exclusive and personal use of the bank account holder), sent at 11:46:23 (verifiably delivered), 11:49:42 (verifiably delivered), 11:51:05 (verifiably not delivered), and 11:51:06 (verifiably delivered) (images 133 to 141 of the judicial file):

9. The transactions that Banco Nacional users (bank account customers) can carry out through the BN Móvil platform or application or Online Banking require different authentication factors, depending on the security level requested by the customer (testimony of the employee witness Marcela González Moreira, who works for the Bank as an Analyst of Fraud Investigations).

10. Every "Personal Internet Banking" customer of the Bank offers four different security levels: i) the "Basic Web" which does not require any security device and is limited to carrying out certain transactions within the platforms such as telephone top-ups and transfers, but to do them, the account must be included as a favorite, and the system will require sending a security code. ii) The next security level is called "Hardware Token", which requires the use of an electronic device called a "key fob" (llavero); the customer who has it must press a button, and in this way, a code called OTP is generated (which the system or the Online Banking platform requests as a security code for user authentication). Any customer with that "Hardware Token" security level, upon entering the online banking platform, will be asked for a username, password, and that OTP code provided by the "key fob". That is the difference from the "Basic Web" security level, which only asks for a username and password. iii) The next security level is "Software Token", which is a configuration performed in internet banking with an application downloaded from the mobile phone's store, and from the phone, an OTP code is generated that the Bank's system or platform asks the user for when entering online banking, in addition to the password. That OTP code is required as part of user authentication for some transactions. iv) The other security system is the digital certificate, which is for those customers who have a digital signature; the configuration is done within online banking, and access is gained with the username and the digital signature key (testimony of the employee witness Marcela González Moreira, who works for the Bank as an Analyst of Fraud Investigations).

11. The sending of codes—whether verification or security codes—to "Internet banking" users is done because some transactions require a second authentication factor; the platform requests it to carry out certain transactions such as transfers or configurations, and it is an action independent of the security levels (testimony of the employee witness Marcela González Moreira, who works for the Bank as an Analyst of Fraud Investigations).

12. As of August 9, 2022 (the date the banking transactions that are the subject of this proceeding were carried out), the plaintiff had the "Hardware Token" security system, which required a username, a password, and obtaining the OTP code from the "electronic key fob" (llavero electrónico), a device for the exclusive use of the user. That security level was changed through the Online Banking channel to the "Software Token" security system, which also required a username, a password, and an OTP code for authentication (testimony of the employee witness Marcela González Moreira, who works for the Bank as an Analyst of Fraud Investigations).

13. The security level that the customer and plaintiff had, "Software Token" required the password as the first security factor and the OTP code generated by the device called "key fob" (llavero) as the second security factor (testimony of the employee witness Marcela González Moreira, who works for the Bank as an Analyst of Fraud Investigations).

14. The transactions carried out in the plaintiff's bank account on August 9, 2022, complied with the system's security codes: username, password, OTP code, and messages were generated both to the registered email and to the cell phone registered by the customer, notifications in which security codes required to complete the transaction were sent (testimony of the employee witness Marcela González Moreira, who works for the Bank as an Analyst of Fraud Investigations).

15. The transactional profile for transfers of funds to third parties is seven million five hundred thousand colones; in the plaintiff's case, she complies with the transactional limit because she is a "Personal Internet Banking" customer, and the transactions carried out on August 9, 2022, did not exceed that amount (testimony of the employee witness Marcela González Moreira, who works for the Bank as an Analyst of Fraud Investigations).

16. The Bank's platform requires, for some transactions, a third level of authentication, which is the change of security level done in online banking; for that transaction, the security level required is username, password, and the OTP code for access, and additionally, a security code is sent to the customer at the phone number registered with the Bank (testimony of the employee witness Marcela González Moreira, who works for the Bank as an Analyst of Fraud Investigations).

17. That Mrs. Leda Calvo Gómez's cell phone number—at the time the banking transactions occurred—was 84513046 (image 4 of the judicial file, incoming call detail, evidence offered by the plaintiff).

18. That at 19:31, and at 19:46, and 19:48, and 20:31 hours on August 9, 2022, Mrs. Leda María Calvo Gómez received in her email account "[email protected]" a total of four emails from the Bank in which she was informed: "You have successfully started a session in the Online Banking channel. Date and time: 08/09/2022 11:31:01 AM IP Address: 186.176.241.225 Browser: Mozilla Firefox If you did not start this session and wish to change your password, please log into Online Banking or the BN Móvil APP and proceed to reset it in the 'Change Password' or 'Forgot your Password' option, or contact us at 2212-2000. Thank you very much." With the date and time changing in each email, all referring to August 9, 2022, but with the following times: 11:46:02 a.m., 11:48:59 a.m., 12:31:39 p.m." (images 146, 147, 148, and 149 of the judicial file, plaintiff's evidence).

VII. FACTS NOT PROVEN

1. That the electronic system of Banco Nacional was "sabotaged" by third parties, and as a result of that action, money was withdrawn from bank account number 200-02-173-005659-3 [CR-90015117320020156592] held by Mrs. Leda María Calvo Gómez (no evidence was provided to prove such a breach).

2. That the plaintiff's bank account in Banco Nacional number 200-02-173-005659-3 (CR-90015117320020156592) was accessed by third parties with the participation of officials from the same bank (no evidence was provided to prove such action).

3. That the banking transactions challenged by the plaintiff in the complaint filed with the Organismo de Investigación Judicial (OIJ) and which are the subject of this action exceeded the normal usage limits (in colones or dollars) of the bank account (no evidence was provided in this regard, beyond the plaintiff's statement).

4. That the security mechanisms and means of Banco Nacional were breached due to flaws in the security of access to bank accounts (no evidence was provided to prove such a breach).

VIII.A. ON THE REGIME OF OBJECTIVE LIABILITY OF THE ADMINISTRATION. As established by the Ley General de la Administración Pública (hereinafter LGAP), public administrations have their own legal regime of extracontractual liability with explicit rules that exclude those provided by civil law, which are expressly enshrined in articles 190 and following of the norm under consideration. Regarding the regime of patrimonial liability of the Administration, the First Chamber of the Supreme Court of Justice has considered: “Firstly, it must be noted that the LGAP indicates, as imputation criteria (criterios de imputación), the existence of legitimate or illegitimate, normal or abnormal functioning. The first two refer to the legal acts carried out by public entities and bodies, and therefore, have a direct relationship with the criteria of lawfulness or unlawfulness, while the latter seek to cover material actions (or omissions). Thus, any damage caused by conduct, whether active or passive, must be compensated, in compliance with the constitutional principle of patrimonial indemnity (indemnidad patrimonial), derived from articles 41 and 45 of the Magna Carta. For its part, it is important to highlight that the LGAP links the duty to repair not only in the face of an unlawful act or abnormal functioning, where the public conduct suffers from some pathology, but also extends the link to even encompass cases where no flaw or defect is seen (that is, lawful acts or normal functioning), but a damage persists characterized ‘by the small proportion of those affected or by the exceptional intensity of the injury’ (article 194 of the LGAP). Now, for liability to arise, there must be an antecedent or base unlawfulness (antijuridicidad), which is identified with the fact that the affected person is not under a legal obligation to bear the damage. However, this must not be confused with specific unlawfulness, derived from a breach of the legal order, which refers to the imputation factors (factores de imputación), specifically, that of unlawful conduct. In any case, if this element is not present, it cannot be affirmed that there is a compensable injury and, therefore, sufficient cause for reparation. Another essential aspect is the existence of a causal link (nexo de causalidad), which is assessed by the judges in accordance with the evidence that the parties, or the jurisdictional body itself, in accordance with its ordering powers, have brought to the proceedings. For these purposes, as this Chamber has held on other occasions, the theory most suitable for determining whether it is possible to link the damage to the conduct is that of adequate causation (causalidad adecuada), which posits that this occurs ‘when the former originates, if not necessarily, at least with a high probability according to the specific circumstances affecting the matter, from the latter’ (ruling 300-F-2009 at 11:25 a.m. on March 26, 2009). However, this link can be eliminated if the defendant proves the concurrence of an exempting cause of liability (force majeure, fault of the victim, or act of a third party). This is because its presence rules out that the injury suffered by the affected party was caused by the State's conduct under scrutiny in the proceeding. Finally, according to the foregoing, it is feasible to affirm that Costa Rican legislation opts for a scheme of moderate objective liability, which, recognizing the particularities of the functions and tasks entrusted to the Administration, obliges the assessment of the conduct deployed by the state apparatus in order to determine whether there was normal or abnormal, legitimate or illegitimate functioning. It is only in the event that the general assumptions referred to in this recital (considerando) concur, as well as the specific requirements provided in the rules applicable to the regime of patrimonial liability of the Administration, that it can be attributed to it, by virtue of any of the imputation criteria. For all the foregoing, despite the preponderant weight that damage acquires in liability without fault, it is not an automatic patrimonial transfer” (Resolution No. 001541-F-S1-2014 at nine twenty-five a.m. on December eleventh, two thousand fourteen). In accordance with the foregoing, we have that: a) From articles 190 and following of the LGAP, the imputation criteria for determining the extracontractual liability of any public administration are of an objective nature. b) The Ley General de la Administración Pública covers 4 major liability systems of the Administrations with their respective objective imputation criteria: i. lawful conduct, ii. unlawful conduct, iii. normal functioning, and iv. abnormal functioning. c) As the doctrine develops, the assumptions of lawful or unlawful conduct correspond to the formal activity of the Administration (issuance of administrative acts and regulations). d) The assumptions of normal and abnormal functioning correspond to the material actions and the provision of public services by the Administration. e) In the case of lawful conduct or normal functioning, there exists, respectively, a legally compliant administrative act or a service rendered regularly, but which, despite this, causes special damage to an individual, or a specific group of individuals, which they had no legal duty to bear. f) In the case of unlawful conduct or abnormal functioning, there exists, respectively, an administrative act contrary to the legal order or a service rendered irregularly (lack of service) causing damages and losses (daños y perjuicios) to the individual. It derives from the foregoing that, when challenging the liability of a public administration, it is a necessary and unavoidable requirement to individualize which is the imputation criterion that would apply to whomever is considered a victim of an action or omission by the Administration.

Therefore, in any judicial action seeking compensation for damages against a Public Administration, the following fundamental elements must necessarily be demonstrated: a) an action or omission committed by the defendant administration; b) the criterion of objective imputation (normal or abnormal functioning, lawful or unlawful conduct); c) a certain, effective, individualizable, and quantifiable damage (daño cierto, efectivo, individualizable y cuantificable); and, d) a causal link (relación de causalidad) between the Administration's action or omission and the alleged damage.

VIII.B. ON THE OBJECTIVE LIABILITY REGIME IN CONSUMER MATTERS. Recently, the Tribunal de Casación de lo Contencioso Administrativo y Civil de Hacienda, regarding that liability regime, has stated: "IV. On liability in internet banking relationships. Article 35 of Ley 7472 establishes the Liability Regime within consumer relationships. This numeral states: 'The producer, the provider, and the merchant must respond concurrently and independently of the existence of fault, if the consumer is harmed by reason of the good or service, inadequate or insufficient information about them, or their use and risks. / Only he who demonstrates that he has been unconnected to the damage (ajeno al daño) is released. [...]'. Based on the foregoing, the Sala Primera de la Corte Suprema de Justicia has opted for a criterion that addresses the specific analysis of the concrete case and the evidence provided, and not a strict application of objective liability within consumer contracts. Recently, in Voto number 225-F-S1-2023 at 10:30 a.m. on February 16, 2023, that Chamber indicated that the liability regime regulated in Article 35 of Ley 7472, in view of the allegation of damages, such as those discussed here, related to the use of 'internet banking', must be approached taking into consideration several aspects. The system established in that norm provides, in general terms, that the drawbacks of a lucrative activity—such as banking—be assumed by the one who carries it out, with some clarifications. Although it is configured as an objective liability, by dispensing with fault and intent (dolo), the attribution does not operate by operation of law or automatically. In this regard, in addition to the accreditation of the agent's harmful conduct, the scheme is not exempt from the duty to demonstrate the existence of the injury and the causal link (nexo de causalidad), and therefore the criterion of imputation (risk). Regarding the causal link, the same numeral 35 admits its rupture or elimination in cases where the agent proves unconnectedness to the damage (ajenidad en el daño). Thus, it is for the defendant to prove that he is unconnected to the production of the damage, that is, to demonstrate the concurrence of any of the exonerating causes of liability. In this sense, unconnectedness to the damage must be understood as meaning that only he who demonstrates that he has been unconnected to the damage is released. For this purpose, it must be considered that Ley 7472 itself, in Article 71, contemplates the integration of that regulation with the Ley General de la Administración Pública (LGAP). Therefore, it has been the criterion of the Sala Primera and now of the integration of this Tribunal de Casación, since there is no express detail in Ley No. 7472 of what should be understood by unconnectedness to the damage, the exonerating causes contained in the LGAP are applicable. Ordinal 190.1 ibid. establishes as exonerations from liability the fault of the victim, the act of a third party, or force majeure (fuerza mayor). Thus, for a risk to be attributable to a company, such that its materialization entails liability, it must be considered that the risk to which the consumer is exposed must exceed those that are tolerable for the person suffering the damage. Furthermore, it must be intrinsic to the lucrative activity deployed, that is, an internal risk of the organization, even if its materialization is unforeseeable" (Resolution No. 00128-2023 at 2:42 p.m. on July 13, 2023). Having defined the objective liability regime of the Administration in light of the Ley General de la Administración Pública, as well as the objective liability in consumer matters, this Chamber proceeds to review the arguments put forth by the plaintiff.

IX.ON THE CRITERIA OF IMPUTATION ALLEGED BY THE PLAINTIFF AND THEIR PROPRIETY OR NOT UNDER THE LIABILITY REGIMES ON WHICH THEY WERE BASED. Following the order given by the plaintiff in the grounds of her action, she stated that on Sunday, August 7, 2022, she attempted to withdraw cash from the ATM at the defendant Bank's branch in Sabanilla, a transaction she could not complete. To check what had happened, she went to that same bank branch the following day—Monday, August 8, 2022—and was provided with a new ATM access "pin". The following day—Tuesday, August 9—she received messages via the WhatsApp platform informing her that the entity's Fraud Monitoring and Prevention Department would contact her, along with insistent calls received from telephone number 6222-6606. That same day—Tuesday, August 9 at 12:03 p.m.—she received a call from number 22112003 which, upon asking if she was making a transaction, and she confirmed she was not, she was told that her account would be blocked because she was a victim of fraud. She contacted the Bank and verified with the employee who attended her that transfers totaling 10,000 colones had been made, so she requested the account be blocked. Forty minutes later, the information was corrected because it had not been in colones but in dollars. She immediately went to the bank branch where she was informed that a total of three transactions for a total of eleven thousand two hundred sixty-nine dollars and seventy-two cents had been made. Given the Bank's rejection of the claim filed for the return of her money, she filed this lawsuit based on the objective liability of the Administration under the liability regimes governed by numerals 35 of Ley No. 7472 and 190 of the LGAP. She set forth in the lawsuit—as an introduction, she noted—the liability regimes developed by both the LGAP and Ley No. 7472 to highlight that, according to the jurisprudence of the Sala Primera de la Corte Suprema de Justicia (Voto No. 300 at 11:25 a.m. on March 26, 2009), the criterion of objective liability applies to damages to the patrimonial sphere of a bank account holder, which does not consider the fault of the author of the harmful act but only the mere verification of the damage. Under this foundation, her reproach revolves around two central ideas: 1) That the Bank's electronic system was sabotaged (without knowing if it was with or without the help of employees of the same institution), which caused her damage to her patrimonial sphere because the security measures used were breached; and 2) That a deficient performance by the Bank is evident because it verified the abnormal movements in her savings account and even called to block the account, yet her money still left it. CRITERION OF THE TRIBUNAL: Based on the foundations presented regarding the liability regimes on which the plaintiff based her claim, it is incumbent upon this Chamber to review whether, as asserted in the lawsuit, the internet banking security system offered by Banco Nacional to the plaintiff as a client, was sabotaged or breached, and whether the Bank's deficient performance in failing to prevent the transactions is verified. Recalling that Article 190.1 of the LGAP establishes as exonerations from liability the fault of the victim, the act of a third party, or force majeure. On the other hand, although Ley No. 7472 does not specify the elements to consider to determine the unconnectedness to the damage, by the normative integration provided in numeral 71 of the norm in question, which stipulates that for matters not provided for in this Law, the Ley General de la Administración Pública shall apply supplementarily; the exonerating causes of liability from the LGAP already indicated are applicable. To prove the concurrence of these elements, the evidence—which in this case is of a technical nature—must be reviewed, as it derives from information contained in the Institution's computer systems. In this line of reasoning, as was indicated starting from Proven Fact No. 5 of this ruling, on the day of the event referred to by the plaintiff—August 9, 2022—the Bank's computer system recorded various accesses to the internet services platform, both through the Online Banking channel and through the BN Móvil application. The reports prepared by the Bank's Dirección de Seguridad e Investigaciones are clear and conclusive in demonstrating that access to the Bank's computer system—whichever channel is used—BN Móvil or Online Banking—requires client authentication by means of the "user" (which in the plaintiff's case is identified with her identity card number), a password (for the exclusive use of the client), and an OTP code obtained from the electronic device called "token (llavero)" which is likewise for the exclusive use of the client (for the "Hardware Token" security level, which is what the plaintiff initially had on her bank account—or from the mobile phone application when the security level is "Software Token"), a security code required for most transactions carried out through the Bank's computer system. From the reports presented by the Bank DS-2781-2023 of October 20, 2023, and DS-2100-2025, the latter dated August 25, 2025, it is clear to this Chamber that banking transactions via internet banking impose identification levels that correspond to information that only the user should know, such as the identity card number, the "user" or name with which the account is accessed (often coinciding with the identity card number), the password, and the different security elements (such as the electronic token) assigned to the account and which, in the specific case, had been chosen by Mrs. Calvo Gómez, as the bank account holder. Given this security condition required of the Bank's clients and users of the "internet banking" service, verified in the aforementioned reports and ratified by the witness, employee Marcela González—who conducted the corresponding investigation for the case under study—it is crystal clear to this Chamber that the electronic debit transactions made on August 9, 2022, from the plaintiff's bank account number 200-02-173-005659-3 CR-90 0151 1732 0020 1565 92 to the account of a third person she claims not to know, could only have been made if one had the confidential information for the exclusive use of the client, Mrs. Calvo Gómez, and that to carry out the different transactions through the "internet banking" platform, different authentication factors are required, depending on the client's security level (see Proven Fact No. 10). On August 9, 2022 (the date the banking transactions were made), the plaintiff had the "Hardware Token" security system for her account, which required a user, a password, and obtaining the OTP code from the electronic token that is for the exclusive use of the account holder. That security system was changed to "Software Token," which equally required for authentication a user, a password, and an OTP code obtained from the mobile phone (declaration of witness employee Marcela González Moreira), but also required a security code as a third security level, which was sent in a cellular phone text message format to the plaintiff's telephone number—having been so selected by the client. In the case of the transactions that are the subject of the claim, it follows from the reports presented by the Bank—and this Chamber must note they were not discredited in their content—nor challenged in any way—by the plaintiff—that the computer system allows verification that: the user and password associated with the bank account were entered, the Bank's system requested the OTP code as a security mechanism (which was obtained from the electronic token or the mobile phone), and, additionally, for some of the transactions (such as adding favorite accounts), the system automatically generated text messages sent to Mrs. Calvo Gómez's mobile phone with the security code required by the system as part of the user authentication level, which is the only way the transaction can be finalized. Furthermore, the Bank's notification system demonstrated the sending of two security codes to the affected party by text message to her mobile phone, informing her that if that code was not generated by the client, she should notify the Bank, and that this code should not be shared with third parties because it is for personal use. Additionally, two notifications were sent via email to the account "[email protected]," sent at 11:51:03 a.m. on August 9, 2022, informing her that a favorite account had been added (see images 137 to 141 of the judicial file).

X.CONTINUED. From the review of the security systems the Bank offers its clients and the security levels imposed by the use of different mechanisms to access the account through the computer system, this Chamber concludes that, in this case, the technical evidence allows the identification of the action of a third party unconnected to the Bank and to the will of Mrs. Calvo Gómez, who supplanted her identity. As indicated in the technical reports, the banking transactions made from Mrs. Calvo Gómez's account, which give rise to this lawsuit, were carried out using her identity, having access to passwords, and generating OTP codes from an electronic token, and then even modified the security level that requested the OTP code not from the token but from the mobile phone. All transactions met the security and authentication levels, and no evidence was provided in this proceeding by the plaintiff showing that the execution of these transactions was due to a technical failure in the Bank's digital platform. As a result, following the jurisprudential line of the Sala Primera de la Corte Suprema de Justicia (on this matter, see Resolutions No. 00128-2023 at 2:42 p.m. on July 13, 2023; No. 0000233-F-S1-2017 at 10:10 a.m. on March 9, 2017; No. 000385-F-S1-2015 at 10:45 a.m. on March 25, 2015; No. 1541-F-S1-2014 at 9:25 a.m. on December 11, 2014; and No. 000945-F-S1-2022 at 8:06 a.m. on May 5, 2022—among others), although we are facing a consumer contract and the liability governed by Ley No. 7472 (specifically numeral 35) applies, each case requires a specific, particular, and individualized analysis based on the evidence provided, and it is not just a strict application of the Administration's objective liability, since, while fault and intent are dispensed with, in addition to proving the harmful conduct by the Administration (the Bank in this case), the duty to demonstrate the criterion of imputation (risk) remains. Based on the foregoing, for this Tribunal, the plaintiff did not prove that the Bank's electronic banking activity's risk level exceeded, in her case, a tolerable or expected minimum in the face of the eventual unscrupulous action of third parties who managed to breach and access her bank account and make debit transactions in favor of a third party, identified in the complaint before the O.I.J. Mrs. Calvo Gómez did not demonstrate that it was due to the Bank's activity that her personal information and that of the security elements, such as the electronic token, were compromised, or that the defendant Institution failed to provide her with security devices to carry out the transactions. More frequently, it is public and notorious knowledge that electronic fraud employs various mechanisms as a ruse that confuses bank account holders, managing to access confidential information and personal data with which banking transactions are made, but which does not impose liability on the Bank, as it is not proven that such access is due to technical failures or a breach of the institution's security system. According to the complaint filed by the plaintiff before the OIJ, a third party who accessed Mrs. Calvo Gómez's bank account is clearly identified, and it was not proven in this proceeding that the perpetrated fraud was carried out through the action of a bank employee. With this, for this Chamber, the action of a third party is proven, thus breaking the causal link (nexo de causalidad) that gives rise to any eventual compensation under the liability regime provided in the LGAP, and the reports supplied by the Bank allow proving the Bank's unconnectedness, as an exonerating factor from liability under numeral 35 of Ley No. 7472. The plaintiff also failed to demonstrate that the Bank had engaged in passive or omissive conduct that could have prevented the fraud, it being proven that text messages and emails were sent to validate the user's identity. Consequently, as the breach of the Bank's computer systems was not proven, nor a neglect of duties regarding the security and authentication systems of the internet banking customer, the action of a third party is configured for the specific case, which relieves the Bank of liability, in light of numeral 35 of Ley No. 7472 and the LGAP (articles 190 et seq.), which mandates the rejection of the lawsuit in its entirety.

XI.ON THE DEFENSES. The defendant Bank raised the defense of lack of right (falta de derecho), considering that the exonerations from attributed liability for fault of the victim and act of a third party are configured. For the reasons given, the lack of right is upheld. Consequently, the lawsuit is declared without merit in its entirety.

XII.ON COSTS. In accordance with numeral 193 of the Código Procesal Contencioso Administrativo, procedural and personal costs constitute a burden imposed on the losing party for the fact of being so. The dispensation from this condemnation is only viable when, due to the nature of the issues debated, there was sufficient reason to litigate, or when the judgment is rendered by virtue of evidence whose existence was unknown to the opposing party. In the specific case, this Chamber considers that it is only after the review of the evidence that a determination can be reached as to whether or not the Bank had liability for the funds withdrawn from the plaintiff's bank account, and only after that assessment is the conclusion reached that an exonerating factor from liability existed in this case due to the fraudulent action of a third party, which was what caused the damage for which compensation was sought. For this reason, the review of each particular case in the judicial venue is necessary, and from that assessment, this Chamber concludes that the plaintiff had sufficient reason to litigate, which falls within the exonerating cause from condemnation in costs, and each party must bear their own costs, as is hereby ordered.

POR TANTO

The evidence for a better provision offered by the parties to the process is admitted. The defense of lack of right alleged by the defendant Bank is upheld. Consequently, the lawsuit filed by Mrs. Leda María Calvo Gómez against Banco Nacional de Costa Rica is declared without merit in its entirety. No special condemnation in costs. NOTIFÍQUESE. EDUARDO GONZÁLEZ SEGURA. RODOLFO MARENCO ORTIZ. LOURDES VARGAS CASTILLO. JUDGES.

 Goicoechea, Calle Blancos, 50 metros oeste del BNCR, frente a Café Dorado. Teléfonos: 2545-0107 ó 2545-0099. Ext. 01-2707 ó 01-2599. Fax: 2241-5664 ó 2545-0006. Correo electrónico: [email protected]

Tribunal Contencioso Administrativo  CONOCIMIENTO ACTOR/A:

LEDA MARÍA CALVO GÓMEZ DEMANDADO/A:

BANCO NACIONAL DE COSTA RICA (BNCR) N° 2025009050 TRIBUNAL CONTENCIOSO ADMINISTRATIVO Y CIVIL DE HACIENDA, SEGUNDO CIRCUITO JUDICIAL, SECCIÓN SEGUNDA (EQUIPO DE TRABAJO DOS) SAN JOSÉ, GOICOECHEA, a las once horas con dieciseis minutos del once de setiembre del dos mil veinticinco.- Proceso de conocimiento, incoado por LEDA MARÍA CALVO GÓMEZ, mayor de edad, casada, comerciante, con cédula de identidad 1-488-779, vecina de Tres Ríos, Cartago; contra la BANCO NACIONAL DE COSTA RICA (en adelante el Banco o BNCR). En condición de abogada autenticante, comparece la Licda. Dayana Badilla Jarquín. Representa los intereses del ente demandado, el Lic. Andrés José Bogarín Bustamante (imágenes 2, 83 y 109 todos del expediente judicial, así como los registros de audio de la audiencia complementaria). Se han observado las prescripciones legales en la substanciación del proceso y no se observan defectos u omisiones capaces de producir la nulidad de lo actuado y resuelto por lo que, previa deliberación de Ley, el Tribunal integrado por los jueces Rodolfo Marenco Ortiz, Eduardo González Segura y Lourdes Vargas Castillo -a quien le correspondió presidir- procede a dictar la sentencia con el voto unánime de sus integrantes.

Redacta la Jueza Vargas Castillo.

CONSIDERANDO

I. ANTECEDENTES PROCESALES

1. Esta demanda fue presentada el 10 de mayo de 2023. Las pretensiones del proceso se visualizan en imagen 57 del expediente judicial y así quedaron fijadas en la audiencia preliminar que tuvo lugar el 30 de abril del año 2024: "En virtud de lo expuesto y de conformidad con los artículos 122 y siguieres del Código Procesal Contencioso Administrativo, 190 de la Ley General de la Administración Pública, 31, 35 y 35 de la Ley de Promoción de la Competencia y Defensa Efectiva del Consumidor, solicito se declare la responsabilidad objetiva del Banco Nacional de Costa Rica, y se le condene reintegro (sic) de la suma sustraída de ONCE MIL DOSCIENTOS SESENTA Y NUEVE DÓLARES CON SETENTA Y DOS CÉNTIMOS, con su debida indexación e intereses calculados desde la fecha de su sustracción hasta su efectivo pago. Asimismo, se condene al demandado al pago de ambas costas" (imagen 57 y110 de la minuta de la audiencia preliminar).

2. Mediante auto de las diez horas diez minutos del once de agosto de dos mil veintitrés, se tuvo por establecido el proceso contra el Banco (imágenes 59 a 61).

3. La representación de BNCR contestó negativamente la demanda. Opuso la excepción de falta de derecho, por considerar que se configura para el caso la eximente de responsabilidad de culpa de la víctima y hecho de un tercero. Solicitó se declare sin lugar la demanda y se condene a la parte actora al pago de ambas costas, del proceso (imágenes 73 a 83).

4. Se llevó a cabo una audiencia preliminar el 30 de abril de 2024, con la presencia de todas las partes del proceso. Las partes advirtieron no tener aspectos de saneamiento, la pretensión fue fijada en idénticos términos a los señalados en la demanda, no se opusieron defensas previas. Se determinaron como hechos controvertidos del 2 al 10 y el 12. Se admitió prueba documental, de la actora la ofrecida de imágenes 2 a 44 y el expediente administrativo aportado por el Banco accionado, así como un único testigo funcionario, la señora Marcela González Moreira con cédula de identidad 0114160557 (imágenes 109 a 112).

5. El 17 de julio de 2024, este expediente fue turnado para Juicio, según consta en imagen 118 del expediente judicial. En auto de las siete horas cincuenta y ocho minutos del veintidós de julio de dos mil veinticuatro, se convocó a audiencia complementaria. La orden de citación para el testigo fue emitida el 10 de enero de 2025 (imágenes 120 a 122 y 126).

6. La audiencia complementaria tuvo lugar el 01 de setiembre de 2025. Los aspectos sobre el desarrollo de la misma, se exponen en la minuta visibles en imágenes 150 a 154 del expediente judicial.

7. Con la entrada en vigencia del escritorio virtual, la tramitación de este expediente se ha sustanciado en esta sede en forma electrónica, por lo que se utilizará como referencia la foliatura del documento electrónico generado como un único archivo en formato PDF, obtenido del Escritorio Virtual con las opciones "Orden Descendente" y "Ver descripción de Documento (PDF)" desmarcadas y con la opción "Ver detalles carátula del Expediente" seleccionado en "Final", el cual incluye un total de 162 imágenes al día del dictado de esta resolución. Se deja esta constancia, con el fin de identificar la totalidad de imágenes que conforman el expediente y su foliatura.

II.ARGUMENTOS DE LA PARTE ACTORA. Del cuadro fáctico que expone en la demanda, da cuenta de que es titular de la cuenta en dólares CR90015117320020056591 (200-02-173-005659-3) con el Banco Nacional. Refiere al 7 de agosto de 2022, entre las 9:30 am y las 10:30 am, cuando se apersonó al cajero automático del Banco, sucursal de Sabanilla, con la finalidad de retirar efectivo sin embargo, pese a utilizar el mismo PIN de siempre no pudo hacerlo, ante la alerta De un error. Lo que sucedió un día domingo por lo que, el lunes 08 de agosto de 2022, fue a la misma sucursal del Banco y una funcionaria de la plataforma llamada Tatiana -que afirmó conocer de otras ocasiones- realizó una revisión de su cuenta y le indicó que reiniciaría los datos en el sistema y le daría un nuevo PIN, recomendándole regresar si no funcionaba el PIN. Aseveró, de forma extraña al día siguiente de su visita, es decir el 9 de agosto de 2022 recibió mensajes de texto del número telefónico 6222-6606 por medio de la plataforma de WhatsApp, con información relacionada con el Banco en el que le indicaban que el Departamento de Monitoreo y Prevención de fraudes la contactarían ese mismo día; aunado a insistentes llamadas del mismo número telefónico entre las 11:39 y las 11:43 horas, explicó que no atendió las llamadas ni los mensajes por no tener su celular a mano. Indicó, el 09 de agosto a las 12:03 pm, recibió una llamada del número telefónico 2211-2003, la persona de identificó como personal del Departamento de Fraudes del Banco Nacional, le dieron su información personal y le preguntaron si estaba realizando alguna transacción con una persona de Aguas Calientes de Cartago, al indicarles que no era ella, le indicaron que procederían a bloquear la cuenta, porque estaba siendo víctima de un fraude. Le preguntaron por la agencia más cercana, a lo que respondió que Sabanilla y le dieron cita con la señora Xinia Naranjo Cruz, presunta funcionaria del Banco. Aseveró, llamó de inmediato al Banco Nacional de Sabanilla desde el teléfono de su casa que es el 2273-4597. Le informaron que en esa sucursal no trabajaba nadie con ese nombre y procedieron a revisar su cuenta, verificando que habían varias transacciones que sumaban 10 mil colones. Solicitó en ese acto que bloquearan su cuenta. Agregó, a la 1:38 pm, casi cuarenta minutos después de la llamada que hizo a la sucursal bancaria de Sabanilla, recibió una llamada del teléfono 2211-2000, se identificó la persona como la funcionaria que la había atendido previamente, para informarle que las transacciones habían sido en dólares no en colones. Ante tal noticia, fue de inmediato al Banco y le informaron que se habían realizado tres transacciones desde su cuenta a la de una persona que no conoce por un total de once mil doscientos sesenta y nueve dólares con setenta y dos céntimos, excediéndose así los límites de transferencias automatizadas por día y que, nunca suministró ni token ni clave dinámica. Agregó, luego de conocer lo sucedido, ingresó a su correo electrónico y el mismo día de los mensajes de WhatsApp recibió correos de la cuenta [email protected] a las 10:32 y 10:38 am. El 10 de agosto de 2022, presentó al Banco formal reclamo por los fondos sustraídos. Le indicaron que se realizaría una investigación interna. El 10 de agosto 2022, presentó denuncia ante el Organismo de Investigación Judicial a la que se asignó el número de expediente 22-021597-0042-PE. Considera, se trató de una vulneración a los sistemas de la entidad bancaria demandada sin que a la fecha se le reconociera beneficio o rédito de la suma sustraída. Agregó, cada vez que ingresa a la plataforma, le envían un correo circunstancia que antes no sucedía y que estima hubiera podido evitar el fraude. FUNDAMENTACIÓN JURÍDICA DEL ASUNTO: (transcripción) De la responsabilidad objetiva, artículo 35 de la Ley de Libre Competencia y Defensa Efectiva del Consumidor, 190 y siguientes de la Ley General de la Administración Pública. A manera de introito necesario, resulta fundamental realizar un breve análisis sobre el tema de la responsabilidad objetiva. En materia de responsabilidad patrimonial se ubican dos amplias divisiones, unas subjetiva y otra objetiva. En la primera se exige, al tenor del artículo 1045 del Código Civil, como presupuesto indispensable la demostración de un dolo o culpa por parte del sujeto autor del hecho dañoso. A diferencia de la responsabilidad subjetiva, la objetiva prescinde de tal comprobación y solamente se limita a constatar la existencia de un daño por reparar. El jurista Colombiano (sic) Gilberto Martínez Rave, conceptualiza la responsabilidad objetiva de la siguiente manera [hace cita]. Así pues, la responsabilidad por riesgo creado u objetiva, se fija cuando el autor del hecho dañoso se benefició con la creación de una fuente peligrosa, por lo tanto, el elemento de la culpa queda por fuera de los aspectos valorados. En Costa Rica carecemos de un planteamiento general de en qué casos estamos ante responsabilidad objetiva, no obstante se ha fijado en situaciones contempladas por la ley. Antes de la promulgación de la Ley de Libre Competencia y Defensa Efectiva del Consumidos, los casos comunes provenían de la materia laboral y ambiental-. Otra arista que debe analizarse de previo a discutir el fondo del asunto, es la carga de la prueba ante la responsabilidad objetiva. Existe una robusta línea jurisprudencial, en donde se fija que el "onus probandi" le corresponde a quien se encuentre en una mejor posición para adoptar elementos probatorios. De tal modo, en el régimen de responsabilidad objetiva, el accionante únicamente debe probar el daño sufrido y el nexo de causalidad y la parte demandada la concurrencia de alguna de las eximentes de responsabilidad, específicamente culpa de la víctima, el hecho de un tercero o la fuerza mayor. En ese orden de ideas, el artículo 35 de la Ley N°7472, estipula un régimen de responsabilidad objetiva a favor del consumidor, ello al ordenar que se debe responder por el daño ocasionado independientemente de la existencia o no de la culpa. Al realizar una disección del numeral citado, se desprende una serie de supuestos que deben concurrir para su aplicación. Veamos, en relación con los sujetos participantes, se exige que quien cause el daño debe tratarse de un productor, proveedor o comerciante, sin importar si es una persona física o jurídica. En cuanto al sujeto perjudicado, es necesario que ostente la calificación de consumidor dentro de la relación de consumo, donde el objeto esencia de dicha relación es la adquisición, disfrute o utilización de un bien o servicio. Finalmente, el legislador estableció una serie de criterios de atribución de responsabilidad objetiva, dentro de los cuales se estipula la teoría del riesgo. Dicha teoría en esencia proclama que quien crea, ejerza o se aproveche de una actividad lucrativa lícita que contemple peligros potenciales para los demás, debe soportar también sus posibles inconvenientes. Colofón de lo expuesto, se constata que los daños ocasionados a la esfera patrimonial del titular de una cuenta bancaria, de conformidad con la Ley N°7472, le es aplicable el criterio de responsabilidad objetiva; al efecto véase el voto número 300 de las once horas veinticinco minutos del veintiséis de marzo de dos mil nueve, emitido por la Sala Primera de la Corte Suprema de Justicia [hace cita]. Aunado a lo anterior, la Ley General de la Administración Pública a partir del numeral 190, contempla el régimen de responsabilidad de la Administración, introduciendo el concepto de responsabilidad objetiva del Estado. Asimismo, se fija que la totalidad de la función administrativa puede ser generadora de responsabilidad, sin reparar ya e el concepto "culpa" sino más bien en el concepto de "daño". Dada la objetividad de nuestro sistema de responsabilidad, la constatación del daño en relación con la actividad desplegada de forma tal, que pueden darse los presupuestos que a continuación se examinarán, revisables a efectos de determinar si existe o no responsabilidad administrativa. Tenemos entonces que el sistema de responsabilidad existente en nuestro medio es objetivo y no atiende a la culpa del autor del acto dañoso, sino a mera constatación del daño, el cual se convierte en el presupuesto central para que se dé la responsabilidad administrativa, que debe ser ante todo resarcible, efectivo, evaluable, individualizable e imputable a la Administración, para que pueda darse el nexo de causalidad necesario entre la actuación administrativa y la lesión causada. Ello tiene su razón de ser al constituirse la responsabilidad de la Administración, sin considerar la noción de culpa, no importando el sujeto provocador del daño, sino la existencia de una lesión o daño, el cual debe ser efectivamente resarcible. Este tema ha sido ampliamente tratado por la jurisprudencia nacional. Cada uno de estos presupuestos se hace necesario ineludiblemente para que opere la responsabilidad por actuación de la Administración. Por ello la ausencia de cualquiera de ellos, deja sin efecto la existencia del daño resarcible. También se tiene que el daño resarcible ha de ser reprochable a la Administración Pública, es decir, deber ser posible atribuirle jurídicamente el hecho dañoso al accionar administrativo, esto quiere decir que debe ser atribuido a un ente u órgano administrativo, que tiene como función natural en este caso el servicio bancario y que con ocasión de la prestación de esa obligación se haya causado un daño. Esta responsabilidad puede darse por funcionamiento anormal del servicio (culpa o ilegalidad atribuibles a un agente identificado o anónimo, parte del órgano administrativo), dando un servicio al que está obligado por el ordenamiento pero que producen un daño o lesión (culpa in commitendo) o si no ha funcionado en forma perfecta pero causando el mismo resultado (culpa in ommitendo) o por funcionamiento normal que son daños eventuales o incidentales causados por acciones ilícitas de la Administración. Entonces se configura como elemento de la responsabilidad administrativa además del daño (efectivo, evaluable), la imputabilidad que se establece como elemento esencial a efecto de señalar a la Administración como responsable. Pero además de lo ya dicho debe existir un nexo de causalidad entre el hecho u omisión de la Administración Pública y el daño causado. En otras palabras el nexo de causalidad se da entre el actuar administrativo y el resultado lesivo o dañoso, presupuesto para la aplicación de la responsabilidad y el resarcimiento por el actuar de la Administración Pública. Así las cosas corresponde a esta representación comprobar el daño indemnizable y su nexo de causalidad con la entidad bancaria demandad, a efecto de fundamentar la responsabilidad objetiva reclamada. DEL CASO BAJO ESTUDIO. En el sub lite, mi representada confiando en la idoneidad del servicio de custodia de dinero ofertado por el demandado, entregó sus ahorros personales. No obstante su sistema electrónico fue saboteado, desconocemos sin (sic) con ayuda de funcionarios o no, empero, de manera así telemática lograron acceder a mi cuenta y extraer mi patrimonio. Cabe indicar que incluso se realizaron movimientos por sumas muy altas, superando los limites anormales en el uso de la cuenta. Es evidente que estamos ante un régimen de responsabilidad del demandado, quién por no contar con los medios de seguridad necesarios, fueron violentados ocasionando daños económicos a la suscrita. Así pues, la suscrita sufrió un daño económico grave puntualmente le sustrajeron una suma dineraria de ONCE MIL DOSCIENTOS SESENTA Y NUEVE DÓLARES CON SETENTA Y DOS CÉNTIMOS ($11.269,72), dinero que se encontraba bajo la custodia del ente bancario demandado, al cual le vulneraron los sistemas de seguridad. Sumado a lo anterior, se denota una actuación deficiente por parte del accionado, quién al constatar sendos movimientos anormales en la cuenta de ahorros, incluso ante la llamada inmediata de mi representada para bloquearlos, los dineros salieron de la cuenta..." (imágenes 45 a 58).

III.ARGUMENTOS DEL BANCO NACIONAL DE COSTA RICA. Respecto de los hechos de la demanda, aceptó el primero, rechazó el segundo. Sobre el tercero indicó: "Este hecho se rechaza por cuanto no consta en nuestros registros la visita de la actora a la agencia de Sabanilla. Pese a lo anterior, mediante consulta a la herramienta SFB (Sistema Financiero Bancario), se acredita que el usuario asignado a la colaboradora Tatiana Morales Céspedes, aplica una limpieza de banda a la tarjeta Servibanca terminada en 7419, la cual se realiza cuando el cliente indica que si se sabe el PIN pero que no le funciona en el ATM ya que por alguna razón se le presentan inconvenientes al retirar dinero en el cajero automático y/o errores en compras por medio de datafono. Se aclara que la señora Calvo Gómez, cuenta con dos tarjetas Servibanca a su nombre terminadas en 7419 y la 7514". Sobre el hecho cuarto señaló: "Este hecho se rechaza por cuanto no nos consta. Asimismo, en verificación de los diferentes sistemas como son SFB (Sistema Financiero Bancario), SIP (Sistema Integrado Plataforma) Cliente Servicios, Módulo Administrativo IB, en consulta realizada mediante número de cédula 1-0488-0779 no se detecta ninguna inclusión como número de contacto 6222-66-06 a nombre de la señora Leda Calvo Gómez, se consulta a dependencia de Soporte de Usuarios si dicho número se encuentra registrado a nombre de alguna persona como alerta financiera, recibiendo como respuesta que el número 6222-66-06 no existe alertas financieras relacionadas". Los hechos quinto, sexto y sétimo los rechazó. Respecto del hecho octavo aclaró: "En secuencia con el relato de los hechos por la actora CALVO GOMÉZ señala “me fui inmediatamente al Banco Nacional, sucursal de Sabanilla…” esto habría ocurrido el 09 de agosto del 2022, no obstante, la atención y aplicación de protocolo de fraude data del 11 de agosto 2022. Ante la afirmación que se excedieron los límites, el límite diario es de siete millones quinientos mil colones y de una suma los montos reclamados el monto en colones no excede dicho límite". Sobre el hecho noveno explicó: "Las direcciones de correo electrónico del Banco Nacional no terminan con un @gmx.com, sino que se utilizar el @bncr.fi.cr." Respecto del hecho décimo indicó: "La cliente presentó su reclamo en fecha 11 de agosto del 2022 (ver folio 55 del expediente administrativo). La investigación realizada desembocó con el informe DS-2781-2023 de fecha 20 de octubre del 2023 (ver folios 17 al 28 del expediente administrativo) mediante la cual se concluyó por parte de la Dirección de Seguridad e Investigaciones del banco lo siguiente (ver folio 28 del expediente administrativo) (hizo transcripción) A raíz de la investigación realizada por la Dirección de Seguridad e Investigaciones, la gerencia de la agencia de Sabanilla procede a rechazar el reclamo incoado mediante oficio BNCR-ASG218-2023 de fecha 23 de octubre del 2023 (ver folios 12 al 19 del expediente administrativo). Aceptó el hecho décimo primero y sobre el décimo segundo expuso: "Del informe de seguridad DS-2781- 2023 de fecha 20 de octubre del 2023 no se indica que haya presentado una “vulneración” de los sistemas del banco. Lo que sí se indica y acredita en dicho informe es el uso de códigos de seguridad para el cambio de Hardware Token y afiliación del Software Token e inclusión de cuentas favoritas. Adicionalmente, se acredita el envío de una alerta por inclusión de cuenta favorita (ver folios 27 y 28 del expediente administrativo)". FUNDAMENTOS JURÍDICOS (transcripción). "1. De la supuesta responsabilidad atribuida al Banco Nacional de Costa Rica La implementación de mecanismos de seguridad por parte del Banco Nacional de Costa Rica, exige también una mayor cuota de responsabilidad del cliente que debía utilizar los dispositivos de seguridad que el mismo Banco puso a su disposición de forma gratuita, y sobre lo cual la más reciente jurisprudencia ha indicado [hace cita] De esto se deriva que el cliente tiene la responsabilidad de procurarse los mecanismos de seguridad que el Banco pone a su disposición, por lo que, EN CASO DEL INCUMPLIMIENTO DE SUS OBLIGACIONES, EL BANCO ESTARÁ EXENTO DE RESPONSABILIDAD, tal y como lo señala la misma sentencia de cita [transcribe parcialmente resolución indicada]. Como corolario de lo expuesto, se tiene que la Sala Primera de la Corte Suprema de Justicia por medio del voto 516-F-S1-2009 de las diez horas con veinte minutos del veintisiete de mayo del dos mil nueve estableció que la existencia de una conducta de parte de la propia víctima en incrementar su riesgo personal tratándose de transacciones bancarias, se traduce en un elemento que rompe el esquema bajo el cual se le puede exigir responsabilidad al Banco. En efecto, señala el voto en lo que interesa lo siguiente [hace transcripción]. Hay que tener en consideración que para que se diera el cambio de hardware token al software token, así como la inclusión de cuentas favoritas necesariamente se tuvo que haber brindado la información de seguridad necesaria para que terceros ingresaran su perfil de usuario de Internet Banking donde pudieron realizar transacciones que le ocasionaron el despojo de sus recursos habidos en dichas cuentas. En la bitácora de Internet Banking se identifican dos solicitudes de códigos de seguridad, información que fue enviada por medio de mensaje de texto al número de celular previamente registrado por el cliente: Solicitudes de códigos de seguridad: • Afiliación o cambio de Software Token • Incluir cuentas favoritas. Es importante aclarar que los códigos de seguridad son necesarios para poder efectuar trámites o transacciones dentro del sistema de Internet Banking, si esos códigos no se digitan, no se podría continuar con el proceso respectivo por lo que se consideran como elementos de seguridad y datos confidenciales. Por último, se registran además los siguientes eventos en las plataformas electrónicas que resultan imperativos para lograr materializar el presunto fraude: • Deshabilitar Hardware Token • Habilitar Software Token • Insertar cuentas créditos • Inclusión Cuentas favoritas • Agregar cuenta favorita. Lo anterior se verifica en el informe de seguridad DS-2781-2023 el cual acredita el uso de códigos de seguridad (ver folios 17 al 28 del expediente administrativo) enviados a la dirección de correo electrónica y por mensaje SMS al número de teléfono que la actora CALVO GÓMEZ registró de forma presencial y de previo ante el Banco para esos efectos. No se acredita por parte de la actora la supuesta responsabilidad del Banco Nacional de Costa Rica, por cuanto la causa eficiente del daño alegado fue provocada por la actora CALVO GÓMEZ al brindar la información de seguridad que solo la actora estaba en obligación de conocer y administrar. La parte actora, es ayuna en prueba que demuestre un nexo de causalidad entre el daño alegado y una conducta desplegada por el Banco Nacional del Costa Rica que haya provocado el supuesto daño, ya que el sistema no presentó anormalidad en su funcionamiento y más bien, actuó como se esperaba al brindarse la información necesaria para realizar los cambios y transacciones reclamadas. Lo que se si queda demostrado es la utilización de números de códigos de seguridad para realizar las transacciones reclamadas; los cuales no fueron brindados por el Banco sino más bien fueron suministrados por la señora LEDA MARÍA CALVO GÓMEZ. Note este respetable Tribunal que el informe técnico de seguridad DS-2781-2023; establece que las transacciones reclamadas fueron realizadas con el código de usuario 104880779 el cual está asignado a LEDA MARÍA CALVO GÓMEZ; por ende; para todos los efectos del sistema del Banco Nacional de Costa Rica, las transacciones fueron lícitas y realizadas por la autorizada, ya que se realizaron con los códigos de seguridad y verificación enviados a los medios asignados por la actora, y que sólo deben ser conocidos y administrados por ella. La fuga de información que ocasionó la actora fue aprovechada por terceros para despojar a los actores de los fondos habidos en sus cuentas de la cuales son titulares, no fue por un funcionamiento anormal del servicio sino por la omisión de los actores de no seguir sus deberes de seguridad de la información que se le brindó para administrar su perfil de Internet Banking. Lo anterior por cuanto, las transacciones reclamadas fueron realizadas mediante el uso de la información y elementos de seguridad que obran exclusivamente en poder de los actores. La señora LEDA MARÍA CALVO GÓMEZ; según su denuncia ante el OIJ; brindó consciente o inconscientemente información a terceros que aprovecharon dicha información para despojarlos de los fondos reclamados. Lo anterior configura la eximente de responsabilidad: CULPA DE LA VICTIMA. Esto debido a que la señora LEDA MARÍA CALVO GÓMEZ permitió con su actuar negligente que delincuentes ocasionaran el daño alegado. El cliente bancario debe asumir una serie de deberes que le impone el ejercicio de sus obligaciones contractuales, bajo la premisa de la responsabilidad y buena fe contractual, mismas que no fueron observadas en el caso concreto, por cuanto los actores no siguieron las recomendaciones que en materia de seguridad bancaria ha comunicado mi representado y sus homólogos en aras de proteger y tutelar el uso de la información confidencial de sus clientes, para lo cual, ha dotado de instrumentos (códigos de seguridad) tendientes a garantizar la seguridad de la información. Desde este escenario, no puede endilgarse responsabilidad alguna a mi representado, toda vez que la actora inobservó sus deberes en cuanto a la debida diligencia. Desde esta perspectiva, lo procedente es acoger la eximente de responsabilidad de CULPA DE LA VICTIMA, toda vez que el daño patrimonial reclamado por la accionante operó por la acción de ella misma, tal y como ocurrió en la sentencia 4-2022-VIII de las diez horas cero minutos del trece de enero del dos mil veintidós de la sección octava del Tribunal Contencioso Administrativo [hace cita]. Así las cosas, y de conformidad con todo lo anteriormente expuesto, lo procedente es declarar sin lugar en todos sus extremos la demanda ordinaria interpuesta por la actora LEDA MARÍA CALVO GÓMEZ en contra de mi representado..." (imágenes 73 a 83).

IV. DE LA PRUEBA OFRECIDA PARA MEJOR RESOLVER

La representación del Banco, ofreció en carácter de prueba para mejor resolver el informe DS-2100-2025 como una ampliación del informe DS-2781-2023 emitido el 20 de octubre de 2023 (admitido como prueba) por medio del cual se rechazó del reclamo administrativo que presentó la actora (imágenes 133 a 141 del expediente judicial), la ampliación consiste en una actualización de los requerimientos técnicos que el Banco ha incorporado con relación a años posteriores. Por auto de las catorce horas y ocho minutos del veintiséis de agosto de dos mil veinticinco, este Tribunal dio audiencia a la parte actora y se dispuso que, sobre su admisibilidad se resolvería en la audiencia complementaria (imagen 142). El día del juicio oral y público, la representación del Banco justificó que ese informe presenta una actualización de la bitácora de eventos que había en el informe del 2023 porque en ese momento, el Banco carecía de dos sistemas que sí tiene hoy, denominado "Latinea" que permite extraer los avisos por correo electrónico que se realizan cuando se dan algunas transacciones o modificaciones en el perfil transaccional de los clientes. La representación de la parte actora se opuso a la admisión, sin embargo solicitó que si es procedente se admita una serie de correos electrónicos que se agregaron al sistema de gestión en línea del día de hoy, que básicamente son los comunicados que refiere el Banco Nacional y que lamentablemente, mi representada recibió su correo hasta altas horas de la noche, cuando ya había acontecido este lamentable hecho, recibidos el 9 de agosto de 2022 (visibles en imágenes 146 a 149 del expediente judicial). Conferida a la representación del Banco la audiencia respectiva, se resuelve: La prueba para mejor resolver alude a una potestad discrecional de la que puede acudir la autoridad jurisdiccional cuando exista algún punto sometido a litigio y que se requiera mayor información o claridad. Es preciso señalar que este tipo de ofrecimiento no puede ser utilizado por las partes para subsanar omisiones en relación con el ofrecimiento de los elementos probatorios, ya sea porque no fueron ofrecidos en su momento procesal oportuno. La Sala Primera de la Corte Suprema de Justicia, en el voto 000655-F-S1-2021, de las catorce horas treinta y cinco minutos del dieciocho de marzo del dos mil veintiuno, al respecto "(...)En esa línea, la prueba para mejor resolver es un instituto concebido para que el Juez, una vez evacuada la prueba ordinaria, solicite aquella que, aun siendo relevante para el proceso, no fue ofrecida por las partes, o bien que habiéndolo sido, fue declarada inevacuable, nula, rechazada por extemporánea o inadmisible, e incluso se refiera a hechos tenidos por ciertos en rebeldía del demandado. Se trata de una facultad del Tribunal y no de las partes, la cual no puede ser utilizada por éstas para subsanar sus omisiones respecto de la prueba que pudieron haber ofrecido en el momento procesal oportuno y no lo hicieron (...)". A criterio del Tribunal la prueba ofrecida se considera pertinente y necesaria, ya que el informe técnico fue emitido con posterioridad a la interposición de la demanda y refiere a una actualización de la información ya admitida. La parte actora ha podido conocerlo y no se ha violentado su derecho de defensa y debido proceso, en iguales términos las copias de los correos electrónicos ofrecidos por la parte actora han sido conocidos por la representación del Banco. Consecuentemente, se admite en carácter de prueba para mejor resolver tanto el informe ofrecido por el Banco DS-2100-202 del 25 de agosto de 2025, que actualiza prueba ya admitida así como la copia de los correos electrónicos presentados por la parte actora visibles de imágenes 146 a 149 del expediente, por ser conducentes y útiles para dictar la sentencia de primera instancia, siendo que los aspectos que se revisan en ambos documentos, refieren al punto esencial y controversial del presente litigio.

V.OBJETO DE ESTE PROCESO. Expuso la representación de la parte actora en la audiencia complementaria, que la demanda radica en una responsabilidad objetiva por parte del Banco Nacional a través de un riesgo creado, como es la utilización de internet banking y que para el caso concreto, los sistemas de esa entidad fueron vulnerados; lo que culminó con una extracción dineraria por más de once mil dólares moneda de curso legal de los Estados Unidos, permitiendo el Banco que se dieran "miles de movimientos" -por ejemplo, aseveró nueve intentos de ingresos, de los cuales cinco fueron fallidos- todo lo que demuestra la vulneración del sistema del Banco y que un antisocial extrajera fondos de la cuenta bancaria de la actora. Adicionó, aunado a la vulneración de los sistemas, existió una falta al deber de comunicación por parte del Banco Nacional. No hubo una comunicación asertiva y rápida para alertar ese tipo de movimientos anormales y fue hasta mucho después de los eventos que se dio. Conforme con el cuadro fáctico y la pretensión de esta demanda, el objeto de este proceso se enmarca en el reproche de daños y perjuicios, lo que se traduce en un proceso civil de hacienda en el que se pretende la indemnización por los hechos expuestos, el fundamento expuesto se basa, además de una presunta responsabilidad objetiva de la Administración (doctrina de los numerales 190 y 191 de la LGAP) en la responsabilidad objetiva derivada del numeral 35 de la Ley N°7472 de Promoción de la Competencia y Defensa Efectiva del Consumidor, por relación de consumo. En orden a la fundamentación dada, el Tribunal expondrá una breve referencia a los principios normativos y desarrollo jurisprudencial de ambos regímenes y, a partir de esa base se revisará la procedencia de los argumentos expuestos en la demanda y los extremos petitorios para determinar, si lo reclamado, permite establecer el nexo de causalidad como requisito indispensable para que surja el deber de indemnizar por parte del Banco.

VI.HECHOS PROBADOS. De la revisión del cuadro fáctico que se describe en la demanda y, según deriva de la prueba documental allegada a los autos, se tiene por probado.

1. El 10 de agosto de 2022, la señora Leda María Calvo Gómez presentó "reclamación de los fondos sustraídos de la cuenta número 200-02-173-005659-3 CR-90 0151 1732 0020 1565 92", específicamente de las siguientes transacciones (imagen 59 del expediente administrativo).

N°comprobante Hora Fecha Monto Transferido a cuenta 97557740 11:53:19 09/08/2022 $1.803,16 CR 29 0151 0022 0011 401488 97560563 11:56:25 09/08/2022 $7.212,62 CR 72 0151 1562 0010 1728 94 97559260 11:55:02 09/08/2022 $2.253,94 CR 72 0151 1562 0010 1728 94 TOTAL $11.269,72 2. En oficio del 11 de agosto de 2022, la Subgerencia General de Desarrollo y Personas del Banco Nacional Agencia Sabanilla, comunicó a la señora Calvo Gómez que su caso fue elevado a la Dirección de Seguridad para la investigación interna y que la respuesta se enviará a la dirección electrónica suministrada "[email protected] (imágenes 56, 57 y 58 del expediente administrativo).

3. El 10 de agosto de 2022 al ser las 02:57 pm, la señora Calvo Gómez, presentó denuncia ante el Organismo de Investigación Judicial, que se tramitó con el número 014-22-001290 y se la asignó el expediente 22-012497-0042-PE, en la que narró lo acontecido el día 7 de agosto entre las 9:30 y las 10:30 am al intentar retirar dinero del cajero automático del Banco Nacional sucursal Sabanilla y el lunes 08 de agosto entre las 12:30 y 13:00 horas, cuando se apersonó a la sucursal del Banco ya indicada (imágenes 47 a 55 del expediente administrativo).

4. El 08 de diciembre de 2022, la Gerente de la Agencia de Sabanilla del Banco Nacional le informó por medio de correo electrónico a la actora: "...Le informo que el caso ingresado en el Sistema de Control de Gestiones de la Contraloría de Servicios, con el fin de que se canalice a las dependencias Técnicas (sic) que se encargan de la investigación y emisión de un informe se encuentra en investigación al día de hoy. Tan pronto se nos remita el informe respectivo le será enviada al medio de notificación suministrado por su persona, ante dicha respuesta, si no es de su conformidad el derecho de interponer recurso de revocatoria y/o apelación en subsidio, según lo establece el art. 346 de la Ley General de Administración Pública. El recurso de revocatoria será resuelto por la dependencia que le emita la resolución y el recurso de apelación será resuelto por la Gerencia General..." (imagen 38 del expediente judicial).

5. Mediante oficio DS-2781-2023 del 20 de octubre de 2023, la Dirección de Seguridad e Investigaciones del Banco accionado, remitió a la Gerente de la Oficina de Sabanilla, el informe sobre el reclamo presentado por la actora y, esta funcionaria a su vez, mediante nota BNCR-ASG218-2023 del 23 de octubre de 2023, lo remitió al correo electrónico [email protected] a la señora Leda Calvo Gómez. El informe detalla que, el 09 de agosto de 2022 se acuerdo con el archivo virtual se realizaron tres transacciones electrónicas de fondos (débito) una por $1.803,16 a la cuenta de Ángel de Jesús González y dos por las sumas de $2.253,94 y $7.212,62 a la cuenta de González Navarrete Ángel, quien a su vez traslado fondos a la cuenta bancaria de una tercera persona (en el Banco Popular y de Desarrollo Comunal). En el apartado "Análisis de la bitácora de transacciones del servicio Internet Banking se detalla: "Según los registros de la bitácora de eventos de Internet Banking el ingreso al sistema se realizó mediante la aplicación BN Móvil, en los cuales se reflejan 09 ingresos y mediante internet Banking web se registran 04 ingresos efectivos el 09 de agosto de 2022. Además, al realizar revisión y análisis de las transacciones ejecutadas en la cuenta del cliente afectado en la fecha antes mencionado, se verifica que las mismas fueron generadas con el código de usuario 104880770 y su respectiva clave de acceso (definida y conocida únicamente por el cliente), los cuales obran en poder de la señora Leda María Calvo Gómez. En las conexiones que se realizaron mediante BN Móvil e Internet Banking web la ofendida contaba con el nivel de seguridad Hardware Token (HX Token) y posteriormente le configuraron el Software Token (SW Token) [se inserta imagen de las conexiones realizadas]. En la bitácora de Internet Banking se identifican 02 solicitudes de códigos de seguridad que fue enviada por medio de mensaje de texto al número de celular previamente registrado por el cliente: Solicitudes de códigos de seguridad: -Afiliación o cambio de Sofware Token -Incluir cuentas favoritas. Los códigos de seguridad son necesarios para poder efectuar trámites o transacciones dentro del sistema Internet Banking, si esos códigos no se digitan, no se podría continuar en el proceso respectivo por lo que se consideran como elementos de seguridad y datos confidenciales. Estos códigos fueron enviados al teléfono que la clienta tenía registrados [se inserta imagen]. Se registran además los siguientes eventos en las plataformas electrónicas que resultan imperativos para lograr materializar la presunta estaba: -Deshabilitar Hardware Token -Habilitar Software Token -Insertar cuentas créditos -Inclusión Cuentas favoritas -Agregar cuenta favorita (se inserta imagen). Conclusión: Basado en el resultado del análisis de la información aportada en la bitácora de eventos de los sistemas de Internet Banking, BN Móvil, Archivo Virtual y el Sistema Financiero Bancario (SFB), además de la documentación aportada por la cliente para el análisis de su caso, se recomienda rechazar la solicitud de resarcimiento por parte del cliente. Para efectuar las transacciones efectuadas previamente medio un proceso donde se requerían códigos de seguridad y OTP´s, es decir las mismas fueron efectuadas contando con un segundo factor de autenticación, estos son datos personales y confidenciales que obran exclusivamente en poder del aquí reclamante..." (imágenes 12 a 18, 19, 20 a 31 del expediente administrativo).

6. Mediante nota del 26 de octubre de 2023, la señora Leda Calvo Gómez, interpuso recurso de revocatoria y apelación en subsidio contra el oficio BNCR-ASG-218-2023 (imagen 9 del expediente judicial).

7. Mediante nota BNCR-ASG-220-2023 del 06 de noviembre de 2023, la Gerencia de la Agencia de Sabanilla, rechazó el recurso de revocatoria (imágenes 5 a 7 del expediente judicial).

8. Mediante informe DS-2100-2025 del 25 de agosto de 2025, emitido por la Dirección de Seguridad e Investigaciones del Banco accionado, se realizó ampliación del reclamo administrativo presentado por la señora Leda María Calvo Gómez, en el que se da un registro pormenorizado de los eventos de Banca en Línea el 09 de agosto de 2022 en la cuenta bancaria de la actora:

a. El ingreso al sistema se realizó por medio de la aplicación BN Móvil (9 ingresos) y por medio de Banca en Línea (04 ingresos efectivos).

b. Las transacciones fueron realizadas con el código de usuario (número de cédula de la clienta) y clave de acceso (que es definida y conocida únicamente por la clienta), información que es responsabilidad de la persona custodiar.

c. Cuando se hicieron las conexiones a través de BN Móvil y Banca en Línea Web la clienta contaba con el nivel de seguridad identificado como Hardware Token, mecanismo que fue desactivado y reemplazado por el Software Token lo que evidencia una modificación en el nivel de seguridad aplicado en el desarrollo del evento reportado por la cliente.

d. Se enviaron dos códigos se seguridad, necesarios para efectuar trámites o transacciones dentro de Sistema de Banca en Línea ya que sin éstos no se podría continuar con el proceso de la transacción porque son elementos de seguridad y datos confidenciales. Estos códigos fueron enviados por medio de mensaje de texto al teléfono celular que inicia con 84 y termina con 6. Una solicitud de código de seguridad fue para afiliación o cambio a Software Token y la segunda para Incluir cuentas favoritas.

e. En el cuadro identificado como "Cronología de los eventos transaccionales Banca en Línea-Aplicación BN Móvil" se observa como el 09 de agosto 2022, a partir de las 11:29:28 horas se dieron de forma continua distintos ingresos a la plataforma electrónica por medio de dos canales diferentes utilizados de manera alterna y que exigían distintos niveles de autenticación: BN Móvil App y Banca en Línea. La primera conexión fue fallida (a las 10:43:32). Las siguientes cuatro fueron exitosas y el nivel de seguridad que tenía en ese momento esa cuenta bancaria era el de Hardware Token, que solicitaba como factores de autenticación el usuario y clave cuando se utilizó el canal de BN Móvil App. Cuando se utilizó el canal Banca en Línea, se observa como los factores de autenticación fueron de usuario, clave y código OTP. En la sexta conexión se solicitó un código de seguridad, que fue enviado por el sistema automatizado por medio de un mensaje de texto al número de teléfono que inicia con 84 y termina con 6 para la afiliación al sistema de seguridad Software Token. El movimiento o ingreso siguiente fue para deshabilitar el sistema de seguridad inicial "Hardware Token" para luego habilitar el sistema "Software Token". El noveno ingreso identificado por la plataforma electrónica, fue por medio del sistema Software Token que requería como factores de autenticación el usuario, la clave y el código OTP. Posteriormente se registra una solicitud de código de seguridad para incluir cuentas favoritas, transacción que requería un código de seguridad que fue enviado por mensaje de texto al celular registrado en el sistema como contacto de la cliente y actora, que inicia con 84 y termina en 6. Posterior a ese ingreso se refleja la notificación al cliente de la inclusión de la cuenta favorita ingresada a nombre de González Navarrete Ángel y los envíos de notificación al cliente por medio de mensaje de texto al número que inicia con 84 y termina con 46. Luego de incluir las cuentas favoritas, se hacen tres transacciones por débito de la cuenta. La cronología de ingresos se dio entre las 11:29:28 de manera continua hasta las 13:04:05. En el informe, de igual manera se reflejan las notificaciones que el sistema o la plataforma de servicios (Latinia) hace de manera automatizada sea por correo electrónico (a la cuenta autorizada por el cliente) o mensaje de texto a los números de teléfono suministrado por el cliente y registrados en "Cliente Servicios". Aunado a los mensajes de texto enviados; en relación al evento del 09 de agosto, el sistema del Banco de manera automática generó dos correos electrónicos a la dirección [email protected] uno a las 11:51:02 y otro a las 11:51:02 informando -en ambos- sobre el ingreso de una cuenta favorita y ambos entregados a la cuenta indicada (ver imagen 138 del expediente judicial o 6 del informe de comentario). De igual manera se identificaron los mensajes de texto remitidos al celular +50684513046 (registrado en el sistema como contacto de la clienta) donde se informa la inclusión de la cuenta favorita a nombre de Ángel de Jesús González N. y de un código de seguridad (que es de uso exclusivo y personal del dueño de la cuenta bancaria) remitidos a las 11:46:23 (contablemente entregado) 11:49:42 (contablemente entregado) 11:51:05 (contablemente no entregado) y 11:51:06 (contablemente entregado) (imágenes 133 a 141 del expediente judicial):

9. Las transacciones que los usuarios del Banco Nacional (clientes de cuentas bancarias) pueden realizar por medio de la plataforma o aplicación BN Móvil o Banca en Línea, requieren distintos factores de autenticación, según el nivel de seguridad que solicite el cliente (declaración de la testigo funcionaria Marcela González Moreira quien trabaja para el Banco como Analista de Investigaciones de fraude).

10. Todo cliente de "Internet Banking Personal" del Banco ofrece cuatro niveles de seguridad distintos: i) el "Web Básico" que no requiere ningún dispositivo de seguridad y está delimitado para realizar ciertas transacciones dentro de las plataformas como recargas telefónicas y transferencias pero para hacerlas debe incluir la cuenta como favorita y el sistema va a requerir del envío de un código de seguridad. ii) El siguiente nivel de seguridad que se llama "Hardware Token", requiere el uso de un dispositivo electrónico al que se le denomina "llavero", el cliente que lo tiene debe pulsar un botón y de esa forma se genera un código que se llama OTP (que solicita el sistema o la plataforma de Banca en Línea como código de seguridad para autenticación del usuario). Todo cliente con ese nivel de seguridad "Hardware Token", al ingresar a la plataforma de banca en línea le va a pedir usuario, contraseña y ese código OTP dado por el "llavero". Esa es la diferencia con el nivel de seguridad "Web Básico" que solo pide usuario y contraseña. iii) El siguiente nivel de seguridad es "Software Token", que es una configuración que se realiza en internet banking con una aplicación que se descarga en la tienda del teléfono móvil y desde el teléfono se genera un código OTP que el sistema o plataforma del Banco le solicita al usuario al ingresar a banca en línea además de la contraseña. Ese código OTP es requerido como parte de la autenticación del usuario, para algunas transacciones. iv) El otro sistema de seguridad es el certificado digital, que es para aquellos clientes que tienen firma digital, se hace la configuración dentro de banca en línea y se ingresa con el usuario y la clave de la firma digital (declaración de la testigo funcionaria Marcela González Moreira quien trabaja para el Banco como Analista de Investigaciones de fraude).

11. El envío de códigos -sea el de verificación o de seguridad- a los usuarios de "Internet banking" se hace porque algunas transacciones requieren un segundo factor de autenticación, la plataforma lo pide para realizar ciertas transacciones como transferencias o configuraciones y es una acción independiente de los niveles de seguridad (declaración de la testigo funcionaria Marcela González Moreira quien trabaja para el Banco como Analista de Investigaciones de fraude).

12. Para el 09 de agosto de 2022 (fecha en que se realizaron las transacciones bancarias objeto de este proceso) la actora tenía el sistema de seguridad "Hardware Token" que requería un usuario, una contraseña y obtener el código OTP del "llavero electrónico" dispositivo que es de uso exclusivo del usuario. Ese nivel de seguridad fue cambiado por medio del canal Banca en Línea, al sistema de seguridad "Software Token" que igual requería para autenticación de un usuario, una contraseña y un código OTP (declaración de la testigo funcionaria Marcela González Moreira quien trabaja para el Banco como Analista de Investigaciones de fraude).

13. El nivel de seguridad que tenía la clienta y actora, "Software Token" requería como primer factor de seguridad la contraseña y como segundo factor de seguridad el código OTP generado por el dispositivo denominado "llavero" (declaración de la testigo funcionaria Marcela González Moreira quien trabaja para el Banco como Analista de Investigaciones de fraude).

14. Las transacciones realizadas en la cuenta bancaria de la actora, el 09 de agosto de 2022, cumplieron con los códigos de seguridad del sistema: usuario, contraseña, código OTP y se generaron mensajes tanto al correo electrónico registrado así como al teléfono celular registrado por la cliente, notificaciones en las que se remitían códigos de seguridad requeridos para completar la transacción (declaración de la testigo funcionaria Marcela González Moreira quien trabaja para el Banco como Analista de Investigaciones de fraude).

15. El perfil transaccional para transferencias de fondos a terceros es de siete millones quinientos mil colones, en el caso de la actora cumple con el límite transaccional debido a que es cliente de "Internet Banking Personal" y las transacciones realizadas el 9 de agosto de 2022 no superaron ese monto (declaración de la testigo funcionaria Marcela González Moreira quien trabaja para el Banco como Analista de Investigaciones de fraude).

16. La plataforma del Banco, requiere para algunas transacciones, un tercer nivel de autenticación que es el cambio de nivel de seguridad que se hace en banca en línea, para esa transacción se requiere como nivel de seguridad usuario, contraseña, el código OTP para el ingreso y adicionalmente se le envía al cliente un código de seguridad al teléfono que tenga registrado en el Banco (declaración de la testigo funcionaria Marcela González Moreira quien trabaja para el Banco como Analista de Investigaciones de fraude).

17. Que el número de teléfono celular de la señora Leda Calvo Gómez -al momento en que se dieron las transacciones bancarias- era el 84513046 (imagen 4 del expediente judicial, detalle de llamadas entrantes, prueba ofrecida por la actora).

18. Que a las 19:31 y a las 19:46 y 19:48 y 20:31 horas del 09 de agosto de 2022, la señora Leda María Calvo Gómez recibió en su cuenta de correo electrónico "[email protected]" un total de cuatro correos del Banco en el que se le informó: "Usted ha iniciado exitosamente una sesión en el canal Banca en Línea. Fecha y hora: 09/08/2022 11:31:01 AM Dirección IP: 186.176.241.225 Navegador: Mozilla Firefox Si usted no inició esta sesión y desea cambiar su contraseña, por favor ingrese a Banca en Línea o al APP BN Móvil y proceda a reiniciarla en la opción “Cambiar Clave” u “Olvidó su contraseña”, o bien, contáctenos al 2212-2000. Muchas gracias". Cambiando en cada correo la fecha y hora, referidos todos al 09 de agosto de 2022 pero con las siguientes horas 11:46:02 am, 11:48:59 am, 12:31:39 pm" (imágenes 146, 147 y 148 y 149 del expediente judicial, prueba de la actora).

VII. HECHOS NO PROBADOS

1. Que el sistema electrónico del Banco Nacional fuera "saboteado" por terceros y producto de esa acción se sustrajera dinero de la cuenta bancaria número 200-02-173-005659-3 [CR-90015117320020156592] cuya titular es la señora Leda María Calvo Gómez (no se allegó prueba que permita acreditar tal vulneración).

2. Que la cuenta bancaria de la actora en el Banco Nacional número 200-02-173-005659-3 (CR-90015117320020156592) fuera accedida por terceros con la participación de funcionarios del mismo banco (no se allegó prueba que permita acreditar tal actuación).

3. Que los movimientos bancarios cuestionados por la actora en la denuncia presentada ante el Organismo de Investigación Judicial (OIJ) y que son objeto de esta acción, superaran los límites (en colones o dólares) normales de uso de la cuenta bancaria (no se allegó prueba en ese sentido, allende la manifestación de la actora).

4. Que los mecanismos y medios de seguridad del Banco Nacional fueran vulnerados por falencias en la seguridad de acceso a las cuentas bancarias (no se allegó prueba que permita acreditar tal vulneración).

VIII.A. SOBRE EL RÉGIMEN DE RESPONSABILIDAD OBJETIVA DE LA ADMINISTRACIÓN. Conforme lo establece la Ley General de la Administración Pública (en adelante LGAP) las administraciones públicas tienen su propio régimen jurídico de responsabilidad extracontractual con reglas expresas y excluyentes a las dispuestas por el derecho civil, las que se encuentran expresamente consagradas en los artículos 190 y siguientes de la norma de comentario. Sobre el régimen de responsabilidad patrimonial de la Administración, ha estimado la Sala Primera de la Corte Suprema de Justicia: “En primer lugar, debe indicarse que la LGAP señala, como criterios de imputación, la existencia de un funcionamiento legítimo o ilegítimo, normal o anormal. Los dos primeros, se refieren a los actos jurídicos desplegados por los entes y órganos públicos, y por ende, presentan una relación directa con los criterios de licitud o ilicitud, mientras que los segundos pretenden dar cobertura a las actuaciones (u omisiones) materiales. Así, cualquier daño causado por una conducta, activa o pasiva, debe ser resarcido, en cumplimiento del principio constitucional de indemnidad patrimonial, derivado de los ordinales 41 y 45 de la Carta Magna. Por su parte, es importante destacar que la LGAP vincula el deber de reparar no sólo ante un actuar ilícito o un funcionamiento anormal, donde la conducta pública adolece de alguna patología, sino que extiende el ligamen incluso para abarcar supuestos en donde no se aprecia ninguna falencia o vicio (es decir, se trata de actos lícitos o de un funcionamiento normal), pero subsiste un daño caracterizado “por la pequeña proporción de afectados o por la intensidad excepcional de la lesión” (ordinal 194 de la LGAP). Ahora bien, para que surja la responsabilidad, es preciso que exista una antijuridicidad antecedente o de base, la cual se identifica con el hecho de que el sujeto afectado no se encuentre en la obligación jurídica de soportar el daño. Empero, esta no debe ser confundida con la antijuridicidad específica, derivada de un quebranto al ordenamiento jurídico, lo que hace referencia a los factores de imputación, específicamente, al de conducta ilícita. En todo caso, de no estar presente este elemento, no puede afirmarse que exista una lesión indemnizable y por ende, causa suficiente para la reparación. Otro aspecto esencial es la existencia de un nexo de causalidad, el cual es valorado por los jueces de conformidad con las probanzas que las partes, o el mismo órgano jurisdiccional, de conformidad con sus poderes de ordenación, hayan allegado al proceso. Para tales efectos, tal y como lo ha dispuesto esta Sala en otras ocasiones, la teoría que resulta más conveniente para determinar si es posible vincular el daño con la conducta es la de causalidad adecuada, la cual postula que esto se da “cuando el primero se origine, si no necesariamente, al menos con una alta probabilidad según las circunstancias específicas que incidan en la materia, de la segunda” (voto 300-F-2009 de las 11 horas 25 minutos del 26 de marzo de 2009). Sin embargo, este nexo puede ser eliminado en caso de que el demandado demuestre la concurrencia de una causa eximente de responsabilidad (fuerza mayor, culpa de la víctima o hecho de tercero). Esto por cuanto su presencia descarta que la lesión sufrida por el afectado fuera producida por la conducta del Estado objeto del proceso. Finalmente, según lo ya expuesto, es dable afirmar que la legislación costarricense opta por un esquema de responsabilidad objetiva moderada, el cual reconociendo las particularidades de las funciones y tareas encomendadas a la Administración, obliga a que se valore la conducta desplegada por el aparato estatal con la finalidad de determinar si existió un funcionamiento normal o anormal, legítimo o ilegítimo. Es únicamente en caso de que concurran los supuestos generales a que se alude en el presente considerando, así como las exigencias propias previstas en las normas aplicables al régimen de responsabilidad patrimonial de la Administración que esta le puede ser atribuida, en virtud de alguno de los criterios de imputación. Por todo lo anterior, a pesar del peso preponderante que en la responsabilidad sin culpa adquiere el daño, no se trata de una transferencia patrimonial automática” (Res N°001541-F-S1-2014 de las nueve horas veinticinco minutos del once de diciembre de dos mil catorce). Conforme con lo expuesto, tenemos que: a) De los numerales 190 y siguientes de la LGAP, los criterios de imputación para determinar la responsabilidad extracontractual de cualquier administración pública, son de naturaleza objetiva. b) La Ley General de la Administración Pública cobija 4 grandes sistemas de responsabilidad de las Administraciones con sus respectivos criterios de imputación objetiva: i. conducta lícita, ii. conducta ilícita, iii. funcionamiento normal y iv. funcionamiento anormal. c) Como lo desarrolla la doctrina, los supuestos de conducta lícita o ilícita corresponden a la actividad formal de la Administración (dictado de actos administrativos y reglamentos). d) Los supuestos de funcionamiento normal y anormal corresponden a las actuaciones materiales y a la dación de servicios públicos por parte de la Administración. e) En el caso de conducta lícita o funcionamiento normal, existe, respectivamente, un acto administrativo jurídicamente conforme con el ordenamiento o un servicio brindado en forma regular, pero que, a pesar de ello, causa en un administrado, o en un grupo concreto de administrados, un daño especial que no tenían el deber jurídico de soportar. f) En el caso de conducta ilícita o funcionamiento anormal, existe, respectivamente, un acto administrativo contrario al ordenamiento jurídico o un servicio brindado en forma irregular (falta de servicio) que le provoca daños y perjuicios al administrado. Deriva de lo expuesto que, cuando se reproche responsabilidad de una administración pública, es requisito necesario e ineludible el deber de individualizar cuál es el criterio de imputación que aplicaría para quien se considere víctima por una acción u omisión de la Administración. Por ello, en toda acción en vía judicial en la que se pretenda el resarcimiento de daños y perjuicios contra alguna Administración Pública, necesariamente se deben demostrar los siguientes elementos fundamentales: a) una acción u omisión cometida por la administración demandada; b) el criterio de imputación objetiva (funcionamiento normal o anormal, conducta lícita o ilícita); c) un daño cierto, efectivo, individualizable y cuantificable; y, d) una relación de causalidad entre la acción u omisión de la Administración y el daño alegado.

VIII.B. SOBRE EL RÉGIMEN DE LA RESPONSABILIDAD OBJETIVA EN MATERIA DE CONSUMIDOR. Recientemente, el Tribunal de Casación de lo Contencioso Administrativo y Civil de Hacienda, sobre ese régimen de responsabilidad ha señalado: "IV. Sobre la responsabilidad en las relaciones de internet banking. El artículo 35 de la Ley 7472 establece el Régimen de responsabilidad dentro de las relaciones de consumo. Este numeral señala: “El productor, el proveedor y el comerciante deben responder concurrente e independientemente de la existencia de culpa, si el consumidor resulta perjudicado por razón del bien o el servicio, de informaciones inadecuadas o insuficientes sobre ellos o de su utilización y riesgos. / Sólo se libera quien demuestre que ha sido ajeno al daño. […]”. Con base en lo anterior, la Sala Primera de la Corte Suprema de Justicia, se ha decantado por un criterio que atiende el análisis específico del caso concreto y las pruebas aportadas, y no a una aplicación tajante de la responsabilidad objetiva dentro de los contratos de consumo. Recientemente, en voto número 225-F-S1-2023 de las 10 horas 30 minutos del 16 de febrero de 2023, esa Sala indicó, que el régimen de responsabilidad regulado en el artículo 35 de la Ley 7472, de cara a la alegación de daños, como los aquí discutidos, relacionados con la utilización del “internet banking”, se debe abordar tomando en consideración algunas aristas. El sistema estatuido en esa norma dispone, en términos generales, que los inconvenientes de una actividad lucrativa -como lo es la bancaria- sean asumidos por quien la despliega, ello con algunas precisiones. Si bien se configura como una responsabilidad objetiva, al prescindir de la culpa y del dolo, la atribución no opera de pleno derecho o en forma automática. En este orden, además de la acreditación de la conducta lesiva del agente, el esquema no está exento del deber de demostrar la existencia de la lesión y el nexo de causalidad, y por tanto del criterio de imputación (riesgo). En cuanto al vínculo causal, admite el mismo numeral 35, la ruptura o eliminación en los casos cuando el agente acredite ajenidad en el daño. Así, corre por cuenta del accionado probar que es ajeno a la producción del daño, es decir, demostrar la concurrencia de alguna de las causas eximentes de responsabilidad. En este sentido, se debe entender como ajenidad del daño, que solo se libera quien demuestre que ha sido ajeno al daño. Para ello debe tomarse en cuenta que la propia Ley 7472 en el artículo 71, contempla la integración de esa normativa con la Ley General de la Administración Pública (LGAP). Entonces, ha sido criterio de la Sala Primera y ahora de la integración de este Tribunal de Casación, al no haber en la ley no. 7472 un detalle expreso de qué debe entenderse por ajenidad al daño, resultan aplicables las causales eximentes contenidas en la LGAP. El ordinal 190.1 ídem, establece como eximentes de responsabilidad la culpa de la víctima, el hecho de un tercero o la fuerza mayor. Así las cosas, para que un riesgo sea atribuible a una empresa, de tal manera que su materialización conlleve responsabilidad, se debe tomar en cuenta que el riesgo en el que se pone al consumidor debe exceder de aquellos que sean tolerables para la persona que sufre el daño. Además, intrínseco a la actividad lucrativa desplegada, es decir, tratarse de un riesgo interno de la organización, a pesar de que su materialización sea imprevisible" (resolución N°00128-2023 de las 14:42 horas del 13 de julio de 2023). Definidos el régimen de la responsabilidad objetiva de la Administración a la luz de la Ley General de la Administración Pública, así como la responsabilidad objetiva en materia de consumidor, procede esta Cámara a revisar los argumentos expuestos por la parte actora.

IX.SOBRE LOS CRITERIOS DE IMPUTACIÓN ALEGADOS POR LA ACTORA Y SU PROCEDENCIA O NO AL AMPARO DE LOS REGÍMENES DE RESPONSABILIDAD EN QUE FUERON FUNDAMENTADOS. Siguiendo el orden dado por la parte actora en los fundamentos de su acción expuso que, el domingo 7 de agosto de 2022 intentó retirar efectivo del cajero automático en la sucursal del Banco accionado en Sabanilla, transacción que no pudo realizar. Con el fin de revisar que había ocurrido fue a esa misma sucursal bancaria el día siguiente -lunes 8 de agosto de 2022- y se le proporcionó un nuevo "pin" de acceso al cajero. El día siguiente -martes 9 de agosto- recibió mensajes por medio de la plataforma WhatsApp en el que se le informaba que el Departamento de Monitoreo y Prevención de Fraudes de la entidad la contactaría, aunado a llamadas insistentes que ingresaron del teléfono 6222-6606. Ese mismo día -martes 9 de agosto a las 12:03 horas- recibió una llamada del número 22112003 que al preguntarle si estaba realizando una transacción sin que así fuera, le indicaron que se bloquearía su cuenta porque estaba siendo víctima de fraude. Se comunicó al Banco, constató con la funcionaria que la atendió que habían realizado transferencias por un total de 10 mil colones por lo que solicitó se bloqueara la cuenta. Cuarenta minutos más tarde corrigieron la información porque no había sido en colones si no en dólares. De inmediato se trasladó hasta la sucursal bancaria donde se le informó que en total fueron tres transacciones por un total de once mil doscientos sesenta y nueve dólares con setenta y dos céntimos las que fueron realizadas. Ante el rechazo del Banco del reclamo presentado para la devolución de su dinero, presentó esta demanda con fundamento en la responsabilidad objetiva de la Administración al amparo de los regímenes de responsabilidad que regulan los numerales 35 de la Ley N°7472 y 190 de la LGAP. Expuso en la demanda -a manera de introito según señaló- los regímenes de responsabilidad que desarrollan tanto la LGAP como la Ley N°7472 para resaltar que, conforme jurisprudencia de la Sala Primera de la Corte Suprema de Justicia (voto N°300 de las 11:25 horas del 26 de marzo de 2009) a los daños en la esfera patrimonial del titular de una cuenta bancaria le es aplicable el criterio de responsabilidad objetiva que no atiende a la culpa del autor del hecho dañoso si no a la mera constatación del daño. Al amparo de esa fundamentación su reproche gravita en dos ideas centrales: 1) Que el sistema electrónico del Banco fue saboteado (sin saber si fue con o sin ayuda de funcionarios de la misma institución) lo que le causó un daño en su esfera patrimonial porque los medios de seguridad utilizados fueron violentados y 2) Que se denota una actuación deficiente del Banco porque constató los movimientos anormales en su cuenta de ahorros, incluso llamó para bloquear la cuenta pero aun así su dinero salió de la misma. CRITERIO DEL TRIBUNAL: A partir de los fundamentos expuestos sobre los regímenes de responsabilidad en que sustentó la parte actora su reclamo, corresponde a esta Cámara revisar si, como se aseveró en la demanda, el sistema de seguridad de internet banking ofrecido por el Banco Nacional a la actora como cliente, fue saboteado o violentado y sí, se constata la actuación deficiente del Banco al no impedir las transacciones. Recordando que, el artículo 190.1 de la LGAP establece como eximentes de responsabilidad la culpa de la víctima, el hecho de un tercero o la fuerza mayor. Por otra parte, si bien, la Ley N°7472 no especifica los elementos a considerar para determinar la ajenidad del daño, por la integración normativa que dispone el numeral 71 de la norma de comentario, que dispone que para a lo imprevisto en esta Ley regirá, supletoriamente, la Ley General de la Administración Pública; resultan aplicables las causales eximentes de la responsabilidad de la LGAP ya señalada. Para acreditar la concurrencia de esos elementos debe de revisarse la prueba -que en este caso es de carácter técnico- pues deriva de información contenida en los sistemas informáticos de la Institución. En ese orden de razones, según se indicó a partir del hecho probado N°5 de este pronunciamiento, el día del evento referido por la actora -09 de agosto de 2022- el sistema informático del Banco registró diversos ingresos a la plataforma de servicios de internet, tanto por medio del canal de Banca en Línea como por medio de la aplicación BN Móvil. Los informes elaborados por la Dirección de Seguridad e Investigaciones del Banco, son claros y contundentes en demostrar que, el ingreso al sistema informático del Banco -sea cual sea el canal que se use -BN Móvil o Banca en Línea- requieren de la autenticación del cliente por medio del "usuario" (que en el caso de la actora se identifica con su cédula de identidad), de una contraseña (de uso exclusivo de la clienta) y de un código OTP que se obtiene del dispositivo electrónico denominado "llavero" que es igualmente, de uso exclusivo de la clienta (para el nivel de seguridad "Hardware Token" que era el que tenía -inicialmente la actora en su cuenta bancaria- o desde la aplicación del teléfono móvil cuando el nivel de seguridad es el de "Software Token") código de seguridad que es requerido en la mayoría de las transacciones realizadas por medio del sistema informático del Banco. De los informes presentados por el Banco DS-2781-2023 del 20 de octubre de 2023 y DS-2100-2025, este último de fecha 25 de agosto de 2025, es claro para esta Cámara que las transacciones bancarias por medio de internet banking impone niveles de identificación que corresponde a información que sólo debe conocer el usuario, como es el número de cédula, el "usuario" o nombre con el que se accede a la cuenta (muchas veces coincide con el número de cédula) la contraseña y los diferentes elementos de seguridad (como el llavero electrónico) que la cuenta tenía asignados y que para el caso concreto, habían sido elegidos por la señora Calvo Gómez, como titular de la cuenta bancaria. Ante esa condición de seguridad que se exige a los clientes del Banco y usuarios del servicio "internet banking", verificada en los informes aludidos y que ratificó la testigo funcionaria Marcela González -quien fue la que realizó la investigación correspondiente para el caso bajo estudio- es meridiano para esta Cámara que, las transacciones electrónicas de débito realizadas el 9 de agosto de 2022 desde la cuenta bancaria de la actora número 200-02-173-005659-3 CR-90 0151 1732 0020 1565 92 hacia la cuenta de una tercera persona que aduce no conocer, solo pudieron ser realizados si se contaba con la información confidencial y de uso exclusivo de la clienta, la señora Calvo Gómez y que para realizar las diferentes transacciones por medio de la plataforma "internet banking" se requiere de diferentes factores de autenticación, según el nivel de seguridad que tenga el cliente (ver hecho probado N°10). El 09 de agosto de 2022 (fecha en que se realizaron las transacciones bancarias) la actora tenía para su cuenta, el sistema de seguridad "Hardware Token" que requería un usuario, una contraseña y obtener el código OTP del llavero electrónico que es de uso exclusivo del titular de la cuenta. Ese sistema de seguridad fue cambiado a "Software Token" que igual requería para la autenticación un usuario, una contraseña y un código OTP obtenido del teléfono móvil (declaración de la testigo funcionaria Marcela González Moreira) pero además requería un código de seguridad como un tercer nivel de seguridad, que fue remitido en formato de mensaje de texto de telefonía celular al número de teléfono de la actora -por así haberlo seleccionado la clienta-. En el caso de las transacciones que son objeto de reclamo, deriva de los informes presentados por el Banco y que debe advertir esta Cámara no fueron desvirtuados en su contenido -ni discutidos en modo alguno- por la parte actora que, el sistema informático permite acreditar que: se ingresó el usuario y la contraseña asociados a la cuenta bancaria, que el sistema del Banco pidió como mecanismo de seguridad el código OTP (que se obtuvo del llavero electrónico o del teléfono móvil) y, además para algunas de las transacciones (como fue la inclusión de cuentas favoritas) el sistema de forma automática generó mensajes de texto dirigidos al teléfono móvil de la señora Calvo Gómez, con el código de seguridad que requería el sistema como parte del nivel de autenticación del usuario y que es la única forma en que se permite finalizar la transacción. Por otra parte, el sistema de notificaciones del Banco, demostró el envío de dos códigos de seguridad a la afectada por mensajería de texto a su teléfono móvil, en el que se le informa que si ese código no fue generado por el cliente de aviso al Banco y que ese código no debe ser compartido con terceros porque es de uso personal. Adicionalmente se remitieron dos notificaciones por medio de correo electrónico a la cuenta "[email protected]" remitidos a las 11:51:03 del 09 de agosto de 2022, en el que se le informaba que había ingresado una cuenta favorita (ver imágenes 137 a 141 del expediente judicial).

X.CONTINUACIÓN. De la revisión de los sistemas de seguridad que ofrece el Banco a sus clientes y de los niveles de seguridad que impone el empleo de diferentes mecanismos para accesar a la cuenta por medio del sistema informático, concluye esta Cámara que en la especie, la evidencia técnica permite identificar la acción de un tercero ajeno al Banco y a la voluntad de la señora Calvo Gómez, que suplantó su identidad. Como se indicó en los informes técnicos, las transacciones bancarias realizadas desde la cuenta de la señora Calvo Gómez y que originan esta demanda, fueron realizadas utilizando su identidad, teniendo acceso a contraseñas, generación de códigos OTP desde un llavero electrónico y luego incluso modificaron el nivel de seguridad que pedía el código OTP no desde el llavero sino desde el teléfono móvil. Todas las transacciones cumplieron con los niveles de seguridad y autenticación y no se aportó prueba en este proceso por parte de quien acciona, que la realización de esas transacciones obedecieran a una falla técnica en la plataforma digital del Banco. En razón de lo cual, siguiendo la línea jurisprudencial de la Sala Primera de la Corte Suprema de Justicia (pueden consultarse sobre ese particular las resoluciones N°00128-2023 de las 14:42 horas del 13 de julio de 2023, N°0000233-F-S1-2017 de las 10:10 horas del 09 de marzo de 2017, N°000385-F-S1-2015 de las 10:45 horas del 25 de marzo de 2015, N°1541-F-S1-2014 de las 09:25 horas del 11 de diciembre de 2014 y N°000945-F-S1-2022 de las 08:06 horas del 05 de mayo de 2022 -entre otras-), si bien estamos ante un contrato de consumo y aplica la responsabilidad que norma la Ley N°7472 (específicamente el numeral 35) cada caso impone un análisis específico, particular e individualizado a partir de las pruebas aportadas y, no se trata solo de una aplicación tajante de la responsabilidad objetiva de la Administración, ya que si bien se prescinde de la culpa y el dolo, además de acreditar la conducta dañosa por parte de la Administración (el Banco en este caso) subsiste el deber de demostrar el criterio de imputación (riesgo). A partir de lo expuesto, para este Tribunal no acreditó la parte actora que el nivel de riesgo de la actividad de banca electrónica del Banco superó para su caso, un mínimo tolerable o esperable ante la eventual acción inescrupulosa de terceras personas que lograron vulnerar y accesar su cuenta bancaria y hacer transacciones de débito a favor de un tercero, identificado en la denuncia ante el O.I.J. La señora Calvo Gómez no demostró que fuera por la actividad del Banco que su información personal y la de los elementos de seguridad como el llavero electrónico, fuera comprometida o que la Institución demandada no le proveyó de dispositivos de seguridad para llevar a cabo las transacciones. Con más frecuencia, es público y notorio que en el fraude electrónico se recurre a diversos mecanismos como ardid que confunde a las personas titulares de cuentas bancarias, logrando ingresar a la información confidencial y datos personales, con los que llevan a cabo transacciones bancarias, pero que no impone responsabilidad del Banco al no acreditarse que ese acceso obedece a fallas técnicas o vulneración del sistema de seguridad de la institución. De acuerdo con la denuncia presentada por la actora ante el OIJ, es claro y está identificada una tercera persona que ingreso a la cuenta bancaria de la señora Calvo Gómez y no se probó en este proceso que fuera por la acción de un funcionario bancario que se concretara la estafa realizada. Con lo cual, para esta Cámara la acción de un tercero se acredita rompiendo así el nexo de causalidad que da origen a una eventual indemnización a la luz del régimen de responsabilidad previsto en la LGAP y, los informes suministrados por el Banco permiten acreditar la ajenidad del Banco, como eximente de responsabilidad a la luz del numeral 35 de la Ley N°7472. Tampoco logró demostrar la parte actora, que el Banco incurriera en una conducta pasivo u omisiva que hubiera impedido el fraude, acreditándose que se remitieron mensajes de texto para validar la identidad del usuario así como correos electrónicos. Consecuentemente, al no comprobarse la vulneración a los sistemas informáticos del Banco ni una desatención de los deberes en los sistemas de seguridad y autenticación del cliente usuario de internet banking, se configura para el caso concreto la acción de un tercero que releva la responsabilidad del Banco, a la luz del numeral 35 de la Ley N°7472 y LGAP (artículos 190 y siguientes), lo que impone el rechazo de la demanda en todos sus extremos.

XI.SOBRE LAS EXCEPCIONES. Opuso el Banco accionado la excepción de falta de derecho por considerar que se configuran las eximentes de responsabilidad atribuida por culpa de la víctima y hecho de un tercero. Por las razones dadas se acoge la falta de derecho. Consecuentemente se declara la demanda sin lugar en todos sus extremos.

XII.SOBRE LAS COSTAS. De conformidad con el numeral 193 del Código Procesal Contencioso Administrativo, las costas procesales y personales constituyen una carga que se impone a la parte vencida por el hecho de serlo. La dispensa de esta condena solo es viable cuando, por la naturaleza de las cuestiones debatidas haya existido motivo bastante para litigar o bien, cuando la sentencia se dicte en virtud de pruebas cuya existencia desconociera la parte contraria. Para el caso concreto, valora esta Cámara que, es luego de la revisión de la prueba que puede arribarse a la determinación de si existió o no responsabilidad del Banco en los dineros sustraídos de la cuenta bancaria de la actora y, sólo luego de esa valoración, se llega a la conclusión de que se presentó en la especie una eximente de responsabilidad por la acción fraudulenta de un tercero, que fue lo que provocó el daño que se pedía indemnizar. Es por ello necesaria la revisión de cada caso en particular en sede judicial y, de esa valoración, concluye esta Cámara que le asistía a la parte accionante, motivo suficiente para litigar, lo que se enmarca en la causa eximente de condena en costas debiendo cada parte asumir las propias, como en efecto se dispone.

POR TANTO

Se admite la prueba para mejor proveer ofrecida por las partes del proceso. Se acoge la excepción de falta de derecho alegada por el Banco demandado. Consecuentemente se declara sin lugar en todos sus extremos la demanda interpuesta por la señora Leda María Calvo Gómez contra el Banco Nacional de Costa Rica. Sin especial condena en costas. NOTIFÍQUESE. EDUARDO GONZÁLEZ SEGURA. RODOLFO MARENCO ORTIZ. LOURDES VARGAS CASTILLO. JUECES.

 Goicoechea, Calle Blancos, 50 metros oeste del BNCR, frente a Café Dorado. Teléfonos: 2545-0107 ó 2545-0099. Ext. 01-2707 ó 01-2599. Fax: 2241-5664 ó 2545-0006. Correo electrónico: [email protected]