Por Roberto Opazo, Director Ejecutivo de Khipu
Se dio a conocer el fallo de la Corte Suprema, en el que nos niega la petición de apelar a una decisión previa con la que la Corte de Apelaciones nos había rechazado un recurso de protección interpuesto contra BancoEstado, por el uso indiscriminado de tecnología anti bot. Si no hubiéramos alcanzado a desarrollar la Antibotasa, habríamos quebrado. Afortunadamente, no nos confiamos en que la Corte resolvería el problema en forma judicial y buscamos en paralelo una solución técnica, que no estábamos seguros de lograr cuando todo esto comenzó.
Llamamos Antibotasa a la solución técnica que combina la asignación de perfiles virtuales, incluyendo PCs, navegadores web, tarjetas de video, comportamientos biométricos y asignación de direcciones IP, entre otras complejidades técnicas, para lograr que los anti bot no sean tan intolerantes y dejen de bloquear las transacciones de los usuarios que eligen pagar con Khipu.
Aunque el fallo no nos perjudique, gracias a que tuvimos éxito en el desarrollo de la Antibotasa, me parece que hay una historia que se debe contar…
Me sorprendió y me dolió que la Corte Suprema ni siquiera nos permitiera tener alegatos para explicar nuestro punto de vista. Previamente la Corte de Apelaciones se había demorado más de 6 meses en darnos fecha de alegato para un recurso de protección, que se supone sea una vía rápida porque sólo aplica para violaciones de garantías constitucionales. Más doloroso me pareció el escrito de BancoEstado, en el que deja tan poco espacio para los argumentos legales y dedica tanto a escribir mentiras. Y tal vez lo peor, es vivir por dentro una historia en la que se asume que la parte legal del banco dirá mentiras y buscará confundir a la Corte. Eso está completamente normalizado, con tanto escándalo vamos perdiendo la capacidad de escandalizarnos.
La máxima instancia de gestión en el BancoEstado es el Comité Ejecutivo. Está compuesto por 3 personas de la confianza del gobierno: El presidente y vicepresidente del directorio, más el Gerente General.
El comité ejecutivo anterior del Banco siguió una estrategia de negociación sucia para obligarnos a firmar un contrato abusivo. En circunstancias en las que ni siquiera es necesario un contrato, pero voluntariamente habíamos aceptado colaborar con el banco y habíamos llegado a un acuerdo razonable con el equipo permanente. Lamentablemente, el comité ejecutivo le quitó el piso a su equipo y exigió agregar que el contrato incluyera nuestra obligación de pagar ante problemas de fraude en forma previa a la investigación de responsabilidades.
La forma literal en que lo dijeron fue agregando la última frase de esta cláusula de responsabilidades que había sido acordada sin esa parte: “Durante todo el tiempo que KHIPU SpA tenga acceso al uso de las plataformas de BancoEstado, para el caso de transacciones desconocidas por los clientes al amparo de la Ley N° 20.009, KHIPU SpA se hará responsable de las pérdidas que su actuar ocasione al Banco, a los clientes de las partes y a terceras partes. Lo anterior comprende, a modo ejemplar, errores en la automatización de KHIPU SpA que produzcan transferencias a un destinatario erróneo, en el evento que el titular de la cuenta de destino no aceptase hacer devolución, y vulnerabilidades en los sistemas de KHIPU SpA que produzcan divulgación de claves que se usen para hacer pagos en KHIPU SpA o en otras plataformas. KHIPU SpA no será responsable de pagos hechos con claves robadas mediante phishing o que se hayan divulgado por vulnerabilidades atribuibles a la plataforma de BancoEstado, así como tampoco en caso de clientes de BancoEstado que en forma maliciosa desconozcan operaciones efectivamente realizadas, salvo en aquellos casos que BancoEstado proceda al pago del reclamo formulado respecto de transacciones que hayan utilizado el canal de KHIPU SpA al amparo de la Ley N° 20.009. «
El problema es que la Ley 20.009 obliga a los bancos a devolver las transacciones desconocidas por sus clientes hasta por 1 millón de pesos y en forma previa a la investigación de responsabilidades. Por lo tanto, la frase con negrita implica que Khipu pague incluso por transacciones devueltas a personas que saben que hicieron el pago, pero desconocen la transacción.
La divina providencia o el azaroso destino quiso que la Corte de Apelaciones se demorara más de 6 meses en asignar una fecha para los alegatos de Khipu y esto ocurrió el 18 de marzo. En pleno proceso de cambio del comité ejecutivo del banco por el cambio de gobierno. Así fue imposible un acercamiento que hiciera primar la razón en una situación que nos parece obvia. La Corte que había demorado 6 meses en darnos fecha de alegatos se volvió rápida y mientras no se completaba la conformación de un nuevo comité ejecutivo en el banco, falló en nuestra contra. Y más sorpresivo aún, la Corte Suprema ratificó rápidamente el fallo de la Corte de Apelaciones, sin darnos siquiera oportunidad de alegar, lo que selló el resultado a toda velocidad.
Probablemente en estos días se termine de conformar el nuevo comité ejecutivo del banco, ya que falta el nombramiento de la o él gerente general. Esperamos que en esta nueva etapa podamos encontrar un BancoEstado dialogante y la verdad es que tenemos mucha fe en eso.
Estoy consciente de que decir que la parte legal del banco “dedica tanto a escribir mentiras” es un dicho fuerte, por lo que me voy a hacer cargo con el siguiente detalle o inventario de mentiras, contenidas en el escrito presentado con fecha 4 de mayo a la Corte Suprema con el número de ingreso 11.602-2022 y firmado por los prestigiosos abogados que representan al banco:
“KHIPU persigue con su recurso de protección que se obligue a BancoEstado a debilitar o morigerar las medidas de ciberseguridad que éste ha implementado de manera general, previa y no discriminatoria, para así beneficiarse indebidamente”.
Es mentira. El anti bot del banco se puede usar sin bloquear a Khipu, para eso el proveedor incluye en su tecnología una forma de configurar bots permitidos y por lo tanto, Khipu no pretende que el banco deje de usar su anti bot, sólo pretende que no lo haga en forma indiscriminada. Si el banco considerase que los cobros que Khipu hace por su servicio son indebidos, debería demandar. Pero el banco conoce nuestra forma de operar desde que el 2013 un grupo grande me citó para preguntar todo tipo de detalles en las oficinas del banco.
“BancoEstado jamás ha pretendido traspasar a KHIPU su responsabilidad legal de cara a sus clientes, sino que ésta asumiera su responsabilidad frente a nuestro representado por los ilícitos que se verificaren a través de sus plataformas”.
Esta mentira fue dicha muchas veces durante el juicio y la evidencia en su contra nunca fue puesta en duda por el banco, sólo ignorada convenientemente. Arriba copié la cláusula de responsabilidad, destacando en negritas la parte que produce el efecto de que Khipu no sólo responda de sus errores, sino también de todas aquellas transacciones que el banco haya tenido que devolver a sus clientes al amparo de la Ley 20.009 que obliga al banco a devolver fondos en forma previa a la investigación de responsabilidades, problema que el banco estaba traspasando a Khipu para los casos en que el pago se haya hecho usando la solución de Khipu.
“(…) la recurrente se vio obligada a reconocer que actualmente se encuentra operando su pasarela de pago con clientes de BancoEstado”
Es espantoso que aprovechen el párrafo para sugerir que Khipu quiso negar su nivel de operación y que se vio “obligada” a reconocer que funcionaba bien con BancoEstado. Una descalificación completamente gratuita y falsa. Los alegatos ante la Corte de Apelaciones fueron la primera oportunidad de referirnos a estos hechos y consta en el script, preparado por nuestro abogado y entregado a la Corte, que los alegatos fueron pensados en responder el dilema jurídico de fondo, que se relaciona con la procedencia de un recurso de protección cuando el agresor es ineficaz en su acción de vulneración de garantías constitucionales. Nuestro script incluyó frases como “Quiero decir a la Corte que mi representada ha implementado una forma de operación que el día de hoy logra no ser bloqueada por la tecnología anti bot de Banco Estado, pero sin ninguna garantía en cuanto a que, una vez terminado el juicio, Banco Estado haga algún cambio que permita a su anti bot ser efectivo en el bloqueo a KHIPU. Es posible pensar que BancoEstado ha permitido que KHIPU supere parcialmente a su anti bot a cambio de llegar a este juicio en posición de argumentar que, al poder operar, entonces no habría vulneración efectiva de garantías constitucionales. De ser aceptable un argumento de esta naturaleza, todos los recursos de protección podrían terminar rechazados si la parte acusada suspendiera temporalmente la violación de garantías constitucionales el día de la audiencia o un poco antes.”
Dado que es obvio que el origen de este conflicto no es por una negociación de contrato, sino por la definición del punto en que una tecnología anti bot puede cruzar el límite de las garantías constitucionales, la discusión que se venía en la Corte Suprema iba a ser muy interesante.
¿El hecho de que gracias a su Antibotasa Khipu pueda operar con todos los bancos, implica que no hay violación de garantías constitucionales cuando BancoEstado se niega a incluir a Khipu en las listas blancas de su anti bot?
Suponiendo que sí hay violación de garantías constitucionales, ¿El hecho de que Khipu pueda operar usando Antibotasa implica que no corresponde aceptar el recurso de protección?
Si estuviéramos hablando del derecho a la vida y hay una persona que me dispara en la calle todos los días, pero yo logro completar mi camino porque llevo escudo, ¿Se está violando la garantía constitucional del derecho a la vida? ¿O el escudo hace que no haya violación de derechos constitucionales?
Si bien desde el punto de vista del sentido común es obvio que a pesar de que Khipu desarrolló la Antibotasa, el banco debería configurar su anti bot para que no atente contra las garantías constitucionales mencionadas, desde un punto de vista jurídico no es así de obvio y preparar los alegatos implicaba hacer el trabajo de buscar jurisprudencia y diseñar los argumentos.
El fallo no impone a Khipu ninguna restricción, por lo que podremos seguir operando, pero eso no implica que sea inocuo. Lamentablemente se le da un respaldo al banco en el uso arbitrario de tecnología anti bot, lo que se puede extender a otros bancos y otras empresas fintechs. En ese sentido, se trata de un retroceso en el proceso de apertura de la industria financiera que hemos impulsado desde Khipu y desde tantas otras empresas Fintech.
“Las opiniones emitidas por los columnistas e invitados, son de exclusiva responsabilidad de quienes las emiten y no representan necesariamente el pensamiento o la línea editorial de Infogate”.