Un conocido banco deberá indemnizar al Círculo de Kinesiólogos y fisioterapeutas de Mendoza que fue víctima de una estafa bancaria por $2.200.000, suma que se embolsaron los estafadores luego de engañar a la tesorera de la institución a través de la modalidad delictiva conocida como “phishing”.
El 9 de septiembre de 2022, la tesorera de la asociación, intentó realizar una transacción bancaria desde el home banking de la entidad de la cuenta perteneciente al Círculo. Ingresó desde la computadora del trabajo al buscador “Google” y escribió el nombre de la entidad, como lo hacía habitualmente, y en el primero de los resultados apareció el link que aparentemente pertenecía al home banking del banco, ya que contenía su nombre y slogan.
Entonces la empleada ingresó a este link, accediendo a una página de idéntico contenido y características que la del sitio web oficial del banco. Para poder acceder a la banca digital, tuvo que completar dos campos, uno con su nombre de usuario y otro con la contraseña.
Luego de obtener acceso, apareció un cartel en la parte central de la pantalla donde indicaba que el banco se iba a contactar con el cliente telefónicamente, a fin de corroborar sus datos. Posteriormente la página se bloqueó. Transcurridos unos minutos, la mujer recibió una llamada de un número privado de un sujeto que se identificó como empleado del banco y a fin de acreditar la veracidad de tal información, éste le manifestó datos bancarios pertenecientes a la cuenta de home banking del Círculo (nombre de usuario, contraseña y clave de firma), además del del número que se encuentra en la parte posterior del dispositivo Token.
A la mujer le pareció normal ya que anteriormente el Banco se había comunicado en situaciones similares pidiendo exactamente los mismos datos (incluso solicitándole el código Token), para brindarle mayor seguridad a la operación a través de un doble factor de autenticación.
Luego la comunicación se cortó. A los pocos segundos recibió un nuevo llamado, en el que se repitió la misma modalidad. Quien emitió la segunda llamada, se identificó como personal del la entidad, reiterándole los datos de usuario, contraseña y clave de firma, generando la absoluta apariencia y confianza, creando la convicción de “hablar con el banco”.
Entonces, el estafador le manifestó a la empleada que, para poder seguir operando, necesitaba que ella le proporcionara el código Token, algo que hizo. La comunicación se cortó, se desbloqueó la página, por lo que pudo retomar la operación para firmar los pagos que debía efectuar.
En esa instancia, la empleada advirtió que no aparecía la opción (botón) para “firmar” que requiere este tipo de operaciones, por lo que se lo comunicó vía WhastApp al oficial de cuentas del Banco, explicándole que no podía efectuar los pagos vía home banking desde la cuenta del Círculo, incluso le envió una captura de la pantalla, donde se visualizaba perfectamente la página web del banco. Y lo más relevante: le resaltó que había recibido llamados telefónicos provenientes de la entidad donde le solicitaron el código Token para poder realizarlas.
El bancario -según la demanda- se limitó a sugerir que se comunicara a un 0800, “adoptando una postura de total falta de colaboración”: “una vez que tomó conocimiento de lo que estaba sucediendo, fácilmente debió haber advertido que algo no estaba bien”.
“El representante del banco, no cumplió con ninguna de las normativas que dispone el Banco Central de la República Argentina, especialmente las relativas a los requisitos mínimos de gestión, implementación y control de los riesgos relacionados con tecnología informática, sistemas de información y recursos asociados para las entidades financieras”, sostienen los demandantes
Además “no emitió ninguna alerta interna para denunciar lo que estaba ocurriendo, tampoco se puso en contacto con el sector correspondiente a fines de que pudieran anular la transacción antes de que quienes suplantaron la identidad del Banco a través de los llamados telefónicos retiraran el dinero de las cuentas, no asesoró ni le brindó herramientas a la clienta para detener o alertarla del posible daño, ni realizó ningún otro mecanismo o procedimiento tendiente a resguardar a su cliente”.
Una hora después el empleado el banco le preguntó si se había podido comunicar con al 0800 que le recomendó. La tesorera le comentó que ya había podido efectuar la transferencia. Una vez obtuvo dicha respuesta, el agente bancario finalizó la conversación.
Pero días después la misma empleada advirtió que, en la cuenta había débitos por grandes importes que ella no había realizado ni autorizado. Fue en ese momento que recordó haber recibido llamadas por parte del “Banco”, y entendió que había sido víctima de maniobras engañosas.
Los estafadores habían realizado dos transferencias, uno por $1.000.000, y la otra por $1.200.000. Una escribana constató que dicho sitio web tenía exactamente la misma interfaz que la página real, es decir que había sido diseñada y presentaba exactamente el mismo formato, haciendo uso del mismo nombre, colores y patrones.
La demanda se entabló por: daño emergente por $2.200.000 y daño punitivo por la suma de $600.000.
Fundamentos del fallo
El tribunal de Gestión Asociado Tercero, al analizar la demanda sostuvo que debe aplicarse la Ley de Defensa del Consumidor, ya que las partes están unidas por una relación de consumo, citando una fuente, dijo: “el sistema jurídico de protección del consumidor encuentra hoy un campo de aplicación preponderante y urgente, en relación a los proveedores y responsables de servicios financieros y bursátiles”.
Además, consideró estar frente al tipo de engaño conocido como “phishing”, en el que la persona, de manera voluntaria, pero como consecuencia de un ardid o engaño, brinda los datos vinculados a sus cuentas bancarias a los estafadores que así logran el ingreso a las cuentas por lo que es la propia víctima quien se transforma en el eslabón más débil de esta cadena de información
El tribunal sostuvo que “las pruebas analizadas, me persuaden de la procedencia de la acción: ha quedado acreditado que la empleada, como consecuencia de una maniobra que lo indujo a un error, ingresó a su cuenta bancaria y realizó el procedimiento que le indicaron telefónicamente, lo que generó que se introdujeran en su cuenta, y se realizaran dos transferencias bancarias, una por la suma de $1.000.000 y la otra por $1.200.000, concretadas el mismo día que sucedieron los hechos probados en autos.
Por otra parte, pese a que en reiteradas ocasiones la mujer pidió ayuda a su oficial de cuentas, la entidad bancaria no le brindo respuesta adecuada a su pedido. “Entiendo, que dicha actitud, sumada a las circunstancias que rodearon el hecho me lleva a considerar que la entidad bancaria debe responder por el mismo”, sostiene el fallo.
Es que el banco “no cumplió con su deber de monitoreo y control, ya que pudo determinar en el momento en el cual se descontaron los montos al actor, que existían transacciones con montos elevados, que podrían haber sido tratadas como sospechosas o potencialmente fraudulentas”.
Es que el banco como proveedora en la relación de consumo, como entidad financiera organizada en forma profesional, debe implementar medidas de seguridad para la protección de la identidad de sus clientes, o mecanismos de autenticación para un mejor control del ingreso de usuarios a las cuentas, o de otorgamiento de créditos, o transacciones que, por exceder las que normalmente hace un cliente, puedan resultar sospechosas.
El tribunal consideró que el Banco Central de la República Argentina ha dictado diversas resoluciones vinculadas al monitoreo y seguimiento de operaciones bancarias, y en relación a la protección la seguridad e intereses económicos de los clientes.
Una de ellas la A-7319, habla en especial el deber que tienen las entidades bancarias de adoptar medidas tendientes a verificar la identidad de las personas que solicitan la acreditación de créditos pre aprobados a través de canales electrónicos y esa verificación deberá hacerse mediante técnicas de identificación positiva, lo que refuerza la obligación que ya tiene la entidad financiera de detectar la posibilidad de engaños de ingeniería social.
“Si el sistema no funcionó para prevenir ese tipo de maniobras, la entidad bancaria debe hacer frente al reclamo del consumidor” incluso cuando la mujer realizó los movimientos indicados por los delincuentes, cuando su voluntad estaba afectada por las maniobras de ardid que lo llevaron a creer, de buena fe, que la operación era segura.
“Si bien la conducta de la empleada pudo ser una condición para el hecho, la causa de que se realizaran dos transferencias a cuentas de terceros fue la falta de medidas idóneas para asegurar la identidad del usuario, así como también no haber contado con sistema de alertas ante la existencia de movimientos inusuales en la cuenta”, dice la sentencia.
Por último, estableció a modo de daño emergente que la entidad bancaria debe devolver los $ 2.200.000, correspondiente a las transferencias realizadas y que fueron oportunamente desconocidas.
En cuanto a los daños punitivos reclamados el tribunal estableció no se advierte que haya mediado intención de dañar al cliente, ni siquiera se configura un supuesto de culpa grave.
