Por Paula Droguett*
Durante años, la discusión en materia de fraude bancario se estructuró sobre un eje relativamente estable: la determinación de la culpa, ya sea del cliente o de la entidad financiera. Este esquema, anclado en categorías clásicas de responsabilidad contractual, ha demostrado ser funcional en contextos tradicionales de operación bancaria. Sin embargo, la progresiva digitalización de los servicios financieros ha tensionado ese marco. El aumento sostenido de fraudes informáticos plantea una pregunta distinta: no solo quién falló, sino si los sistemas implementados por las entidades financieras son adecuados para enfrentar riesgos tecnológicos previsibles.
En este contexto, el legislador chileno ya había introducido un cambio relevante a través de la Ley N° 20.009 (y sus modificaciones), estableciendo un régimen especial de responsabilidad en materia de fraude en medios de pago. Entre otros aspectos, dicha normativa dispone que, frente a operaciones desconocidas, corresponde al emisor probar que estas fueron autorizadas por el usuario, no siendo suficiente el mero registro de la operación . Asimismo, impone a las entidades la obligación de adoptar medidas de seguridad, incluyendo sistemas de monitoreo de transacciones, detección de patrones de fraude y mecanismos de mitigación de riesgos .
De este modo, el legislador no sólo abordó la cuestión probatoria, sino que también incorporó exigencias sustantivas en materia de seguridad, alineadas con la naturaleza tecnológica del riesgo.
Ahora bien, un reciente fallo de la Corte Suprema parece proyectar este desarrollo un paso más allá, sugiriendo -aunque sin formularlo explícitamente- una evolución en el estándar de diligencia exigible a los bancos.
En una sentencia de 1 de abril de 2026, dictada en la causa Rol N° 16.293-2026, la Corte Suprema confirmó la decisión que acogió una demanda de responsabilidad contractual, declarando que la demandante no adeudaba suma alguna al banco y condenando a este último al pago de indemnización por daño moral.
La sentencia permite advertir un desplazamiento relevante en la manera en que se entiende el cumplimiento de las obligaciones bancarias. Este desplazamiento no implica una redefinición expresa del estándar jurídico, pero sí una reinterpretación funcional del mismo: la diligencia se mide, en los hechos, en función del entorno tecnológico en el que se despliega la actividad bancaria.
En este punto, resulta relevante advertir que, si bien la Ley N° 20.009 ya había alterado la distribución de la carga de la prueba en favor del usuario, no agotó la discusión sobre el estándar de cumplimiento exigible a las entidades financieras. Es precisamente en este espacio donde la jurisprudencia comienza a operar.
En efecto, más allá de su formulación explícita, el fallo sugiere que la diligencia exigida a los bancos no se agota en la adopción formal de medidas de seguridad, sino que se proyecta hacia la eficacia real de estas frente a riesgos conocidos. En otras palabras, no basta con contar con sistemas; estos deben ser idóneos para prevenir fraudes en un entorno donde tales eventos son, en términos generales, previsibles.
En este contexto, es posible sostener que el estándar de diligencia bancaria comienza a incorporar elementos propios de una “diligencia tecnológica”. Esto no supone la creación de una nueva categoría jurídica, sino la adaptación de las existentes a un entorno de riesgo distinto.
La actividad bancaria digital se caracteriza por la presencia de amenazas sofisticadas, dinámicas y, en gran medida, previsibles en términos generales. Frente a ello, la exigencia de diligencia razonable parece incluir -al menos implícitamente- la implementación de mecanismos capaces de detectar, prevenir y mitigar tales riesgos, en línea con las obligaciones ya establecidas por el legislador.
Lo relevante es que el fallo no detalla cuáles serían estos mecanismos. Sin embargo, al validar la responsabilidad en un contexto de fraude informático, se acerca a un estándar en que la evaluación del cumplimiento no se limita a la existencia de medidas, sino a su efectividad para evitar el resultado dañoso.
Desde una perspectiva práctica, este fenómeno tiene implicancias relevantes en la dinámica probatoria. Si bien la Corte mantiene formalmente la distribución clásica de la carga de la prueba, en la práctica se observa un efecto distinto: acreditado el fraude y sus consecuencias, la posición del banco se torna estructuralmente defensiva. La ausencia de una explicación convincente sobre la ocurrencia del evento puede traducirse en la configuración de responsabilidad.
De este modo, el régimen se aproxima a una lógica que, sin ser formalmente objetiva, opera en términos similares. La exigencia no se limita a actuar diligentemente, sino a demostrar que las medidas adoptadas eran efectivamente idóneas para prevenir el riesgo materializado.
Si bien el fallo analizado no constituye, por sí solo, un cambio de paradigma, sí puede ser leído como una señal en una dirección más amplia: la progresiva adecuación del estándar de diligencia a las condiciones tecnológicas en que se desarrolla la actividad bancaria.
En la medida en que los tribunales continúen validando este tipo de razonamientos, es esperable que la diligencia bancaria evolucione hacia un modelo en que la gestión y permanente actualización del riesgo tecnológico ocupe un lugar central en la evaluación del cumplimiento contractual.
La cuestión que queda abierta es el alcance de esta exigencia: si se trata de prevenir fraudes previsibles o de anticipar activamente las formas en que estos pueden materializarse. La respuesta a esa pregunta será determinante para definir los contornos de la responsabilidad bancaria en entornos digitales.
*Paula Droguett: «Soy abogada dedicada a la regulación, cumplimiento normativo y gestión de riesgos en industrias altamente expuestas. Cofundadora de WILL – Women Innovation Legal Lab, y comediante jurídica en mis tiempos libres.»
