El Juzgado en lo Civil, Comercial y Familia de 3a. Nominación de San Francisco condenó en febrero a un banco a pagar una indemnización por daño moral y otra por daño punitivo a un cliente que fue víctima de una ciberestafa a través de la técnica de manipulación denominada “phishing”, que tiene por objeto engañar a la víctima para que entregue información personal sobre sus cuentas bancarias.

Se determinó que la entidad financiera no adoptó las medidas idóneas de ciberseguridad para evitar la consumación de la estafa electrónica.

El juez Carlos Ignacio Viramonte también ordenó que la entidad financiera restituya al damnificado las sumas debitadas en concepto de pago de cuotas del préstamo, con sus correspondientes intereses y que publique la sentencia en un medio de amplia circulación.

Crónica de una ciberestafa

Según las constancias de la causa, la clienta recibió un e-mail con el mismo formato utilizado por el banco que le sugería actualizar su información personal mediante un enlace que la terminó redireccionando a un portal idéntico al homebanking.

En ese sitio, que era administrado por terceros, el actor completó sus datos confidenciales, sin temor, en tanto que desconocía que los estaba enviando a personas ajenas al banco. Estos sujetos accedieron a su canal virtual, cambiaron el número de celular al que llegan las claves y comenzaron a operar como si fueran el titular, esto es, aumentaron el límite del monto de las transferencias, solicitaron un préstamo personal y transfirieron dinero a terceros.

Responsabilidad civil

El juez Viramonte admitió que el sistema informático del banco no tuvo fugas o defectos ni errores en su funcionamiento; que la estafa fue perpetrada por terceros ajenos al banco; y que fue el propio accionante quien compartió sus claves de acceso.

Sin embargo, puntualizó que la entidad debe responder objetivamente ya que el ingreso remoto del cliente al sistema es una “cosa riesgosa”, máxime cuando del propio informe técnico acompañado por el banco se reconoce que “nunca debe considerarse que los usuarios se encuentran capacitados en el uso de las tecnologías y conscientes de los riesgos a los cuales están expuestos”.

Del fallo se desprende que si el banco proveedor omite adoptar las medidas necesarias para prevenir estos riesgos de modo tal que su servicio termina convirtiéndose en inseguro para sus clientes, la entidad debe responder por los daños que sufran aquellos al incumplir con el deber de seguridad que pesa a su cargo.

Carencia de ciberseguridad

Por otro lado, en la resolución –que no se encuentra firme- se reflexiona que la prestación del servicio bancario de manera no presencial se ha visto fomentada mediante el uso de herramientas digitales y que ello trajo aparejado, paralelamente, un acrecentamiento de riesgo de ciberdelitos, por lo cual, las entidades bancarias deben extremar las medidas de seguridad para evitar esos previsibles y reiterados ataques y fraudes informáticos.

“El banco, al ofrecer a sus clientes un nuevo modo de relacionarse comercialmente con él, debe procurar como mínimo la misma seguridad que si tal operatoria se realizara personalmente”, enfatizó.

En este caso puntual, aunque la entidad crediticia detectó la existencia de movimientos sospechosos en la cuenta y fue alertada por el propio cliente del delito, hizo caso omiso a tales advertencias y autorizó –unos minutos después- todas las operaciones ejecutadas por el intruso cuando en verdad debió bloquear la cuenta y evitar la realización de la ciberestafa.

Y si bien, durante la etapa intermedia del juicio, el banco por una decisión comercial anuló el préstamo y depositó en la cuenta del cliente las sumas correspondientes a las cuotas debitadas, el magistrado determinó que no resulta suficiente para liberarse de responsabilidad, toda vez que pesa a su cargo la obligación de desplegar herramientas de ciberseguridad para proteger a los usuarios de hackers y virus que pongan en peligro los activos de sus clientes. 

Fuente: Poder Judicial de Córdoba

Noticias relacionadas: