Los problemas que surgen luego de que se produce una estafa virtual generan una serie de cruces entre el banco y el cliente estafado donde, en general, se pone en juego dos posiciones: el posible descuido de la persona a hora de proteger su propia información confidencial y la mayor o menor seguridad que tienen los bancos en sus sistemas informáticos.
En el presente caso, lo justicia ordenó que el banco Hipotecario declare la nulidad de un préstamo que sacaron unos estafadores desde la cuenta de una clienta y que anule las sucesivas transferencias que los delincuentes hicieron y además condenó a la entidad bancaria a pagarle a la mujer $1.600.000 en concepto de daños y perjuicios.
Según un reciente fallo de Tercer Juzgado Civil, aun el cliente haya sido víctima del engaño conocido como “phishing”, no debe eximirse de responsabilidad al banco.
El estafa bancaria
En setiembre de 2021 A. B., clienta del Banco Hipotecario inició una demanda por proceso de consumo solicitando la nulidad del contrato fraudulento y solicitó la suma de $3.100.000 por daños y perjuicios. Además, solicitó que en caso de que no se anulara los contratos anómalos se condenar al banco a pagar $3.900.000.
La mujer denunció que el 30 de agosto de 2021 recibió un mail en el que se le informaba que su cuenta en el Banco Hipotecario había tenido movimientos irregulares y que, debían corroborar datos.
La mujer –una jubilada que había sido empleada del Banco Hipotecario durante 37 años y que dijo estar al tanto de las estafas virtuales- no contestó el mail y desde su celular ingresó a la banca móvil, con su usuario y contraseña y observó que no había ningún movimiento extraño por lo que cerró la sesión, tras ver que tenía en su cuenta $ 165.911.
Al día siguiente la mujer recibe un mensaje de texto que luego desapareció: le decían que ella había solicitado un préstamo y que si desconocía la operación debía llamar al banco. Ella volvió a consultar a la banca móvil y vio que tenía abierta una sesión de operatoria online.
Luego descubrió que le habían acreditado un préstamo personal de $336.500 pesos que habían sido transferidos de inmediato en 5 veces a cuenta de una mujer y un hombre y una trasferencia a un usuario de tarjeta Naranja.
Con esta novedad, la jubilada comenzó a realizar gestiones en el banco desconociendo las operaciones, su fuente fue bloqueada, no pudiendo acceder al a su jubilación y debiendo pedir préstamos a sus familiares y usar la tarjeta de crédito.
El banco comenzó a pedirle que enviara una nota con distintos datos y luego que sacara un turno para ser atendida presencialmente al tiempo que la mujer realizaba una denuncia penal por estafa.
Después de idas y vueltas –mientras seguía su cuenta bloqueada y era bombardeada con mensajes para que pagara su tarjeta de crédito- recibió un mail sugiriéndole que pagar la tarjeta de forma manual cuando tenía el dinero retenido en su cuenta.
El 21 de setiembre recibió una respuesta a sus reclamos resaltando que el banco “en reiteradas campañas de prevención de fraudes a través de redes sociales, correos electrónicos y otros medios, ha indicado que no se debe transmitir a ninguna persona la información suministrada por el Banco, como así también las claves, usuario, tarjetas de coordenadas ni datos personales” por lo que “ante el evidente delito practicado por vía informática en su contra, y siendo el Banco ajeno al hecho denunciado el reclamo no es aceptado por la institución”.
En la demanda entablada por la clienta se afirma que la conducta de banco es reprochable y no investigó el hecho y “no ha logrado acreditar ninguna eximente de la responsabilidad objetiva que le cabía en función del deber de seguridad al que está sujeto.
Además, sostiene que “los bancos no han tomado medidas para ajustar los sistemas de seguridad y evitar que los delitos ocurran, verificando la identidad y el consentimiento de la persona que está operando mediante controles biométricos o mediante huella dactilar, por ejemplo, usados como los sistemas más infalibles”.
Tras sostener que ella nunca solicitó el préstamo en cuestión y nunca dio el consentimiento para contratarlo, reclamó: daño moral ($ 922.386); daño material ($ 19.169, si se declara la nulidad del mutuo fraudulentamente otorgado, o de $ 362.569, si no se declara la nulidad referida); daño punitivo ($ 2.196.962 en caso de hacer lugar a la nulidad solicitada; de $ 2.993.945 en caso de no hacerse lugar a la nulidad solicitada),
El banco, por su parte, negó la denuncia, y culpó a la mujer porque “brindó la totalidad de las claves de su correo electrónico y homebanking a alguien, quien solicitó el préstamo pre acordado para luego transferir ese dinero”.
Lo que dijo la justicia
Para la justicia el núcleo central de la controversia, radica en decidir si el banco debe responder por la estafa, o si, por el contrario, se encuentra eximido por haberse verificado la operación con el usuario y contraseñas.
Por otro lado -en relación al deber de seguridad- los proveedores “deberán otorgar al usuario una seguridad tal que garantice la confianza a ellos depositada, con la consecuente asunción de los riesgos inherentes a dicha actividad”.
Es que el cliente-usuario que opera con una entidad bancaria confía en que se encuentra seguro y es precisamente la frustración de esa confianza, buena fe y seguridad el fundamento de su responsabilidad.
El banco debe probar que la culpa es del cliente
“La entidad bancaria debe tomar todas las medidas que estén a su alcance para proteger a la persona, salvaguardar sus derechos y evitar cualquier perjuicio en su contra” dice el fallo sosteniendo que el banco solo podrá eximirse de responsabilidad probando acabadamente causa ajena, dado que “se está frente a un sujeto que aparece vulnerable en esta relación de consumo que los signa”.
Al consumidor o usuario le basta con probar el hecho generador y el daño, y al invertirse la carga de la prueba, el proveedor de servicios financieros debe traer consigo los elementos probatorios suficientes para demostrar sus argumentos y así eximirse de responsabilidad.
El fallo se refiere al “phishing” –cosecha y pesca de contraseñas-, es decir las técnicas de ingeniería social, donde se engaña y manipula psicológicamente a la víctima para que revele datos que no brindaría en circunstancias normales.
Esta maniobra viene acompañada de la suplantación de identidad de alguna empresa, organismo público o personalidad reconocida y consta de un llamado de atención (que puede ser la caída de un servicio, el bloqueo de una clave, una oferta de último minuto, un premio) y un requerimiento de información sensible (usuarios, contraseñas, claves bancarias, tarjetas de coordenadas, tokens, códigos de verificación, códigos de recuperación, números de tarjetas de crédito y de débito).
Con estos argumentos el delincuente busca poner en crisis al eslabón más débil de toda la cadena de la seguridad de la información -el usuario final- para inducirlo a realizar la entrega de información sensible.
“El cliente, mediante engaño en una maniobra de “phishing”, haya proporcionado sus claves personales de homebanking, no configura hecho de la víctima que permita eximir de responsabilidad al banco”, cuando este incumple la normativa del Banco Central de la República Argentina que impone medidas para mitigar y evitar los casos de phishing, lo que pone en evidencia que esas acciones delictivas son previsibles y evitables mediante la adopción de medidas de ciberseguridad adecuadas”.
En este caso en concreto, las pericias determinaron que no se puede determinar a ciencia cierta si el dispositivo desde el que se hicieron las operaciones, fue hackeado o no. Y que, al momento de la pericia la Entidad cumple rigurosamente con todo lo dispuesto por la normativa vigente del BCRA pero no pudo asegurar que esas medidas eran cumplidas al momento en que se produjo la estafa.
Para el juez no es suficiente que el banco haga campañas de concientización y deben reforzar sus sistemas de seguridad porque es quien “se beneficia de las ganancias que le brindan las plataformas digitales” y debe brindar la seguridad necesaria para que las plataformas sean seguras e inviolables, sobre todo porque está en juego el dinero de sus clientes.
Luego indica que si el banco hace uso del homebanking para otorgar préstamos “es lógico que deba asumir el mayor riesgo que ésta genera, y por ende, ante irregularidades que ocasionen daños, deba responder”.
Por último, el fallo sostiene que “aun cuando la clienta dio sus claves por error o por engaño -lo que no está probado-, el banco debió prever mecanismos de seguridad tendientes a acreditar que quien estaba tomando el crédito o préstamo, era su cliente y no un tercero estafador. Como no lo hizo, debe responder objetivamente”.