Un juzgado civil de Tandil condenó a una entidad financiera a reintegrar el dinero sustraído de la cuenta de un cliente víctima de una maniobra de phishing y, además, a pagarle una indemnización por daño moral y daño punitivo. El fallo consideró que el banco incumplió su deber de seguridad al no detectar operaciones inusuales ni activar alertas frente a transferencias sospechosas realizadas desde la banca digital.
La sentencia, dictada por el Juzgado en lo Civil y Comercial N.º 2 de Tandil, se suma a una serie de precedentes recientes en los que distintos tribunales responsabilizaron a entidades financieras por fraudes electrónicos cometidos mediante engaños digitales, aun cuando los usuarios hubieran entregado datos personales o claves de acceso.
El caso tuvo origen el 14 de marzo de 2023. Según surge del expediente, el cliente intentó realizar una compra con tarjeta de débito, pero la operación fue rechazada porque el plástico estaba vencido. Luego de buscar un número de atención al cliente en internet, se comunicó con una línea telefónica que aparentaba pertenecer a la empresa emisora de la tarjeta.
Durante la conversación, los estafadores le solicitaron datos personales y bancarios con el argumento de solucionar el inconveniente. El usuario terminó proporcionando credenciales de acceso y códigos token de validación.
Con esa información, los delincuentes ingresaron al home banking y realizaron cinco transferencias por un total de $574.000 hacia cuentas desconocidas.
Minutos después, el cliente advirtió los movimientos irregulares al intentar ingresar nuevamente a la aplicación bancaria. Tras denunciar la situación, la entidad bloqueó la cuenta.
El usuario realizó una denuncia penal y también acudió a la Oficina Municipal de Información al Consumidor, aunque no obtuvo una solución. Finalmente inició una demanda civil contra el banco.
LA DEFENSA DEL BANCO
La entidad financiera negó responsabilidad y sostuvo que el propio cliente había actuado con negligencia al entregar datos sensibles fuera de los canales oficiales.
Además, argumentó que cumplía con las medidas de seguridad exigidas por el Banco Central y que realizaba campañas de prevención para advertir a los usuarios sobre los riesgos de compartir claves y códigos de autenticación.
Sin embargo, el tribunal entendió que esos argumentos no alcanzaban para eximir de responsabilidad al banco.
El juzgado consideró que la relación entre el cliente y la entidad financiera constituye una relación de consumo, por lo que resulta aplicable la Ley de Defensa del Consumidor y el deber de seguridad previsto en el artículo 42 de la Constitución Nacional.
En ese marco, el fallo sostuvo que los bancos tienen una obligación objetiva y reforzada de protección respecto de los fondos depositados y de las operaciones realizadas mediante canales electrónicos.
La pericia informática incorporada al expediente confirmó que las transferencias fueron efectuadas utilizando los datos proporcionados por el usuario y validadas mediante doble factor de autenticación. No obstante, también señaló que las operaciones presentaban características inusuales.
Entre otros puntos, se destacó que:
-Las transferencias se realizaron a destinatarios no habituales
-Fueron efectuadas desde una dirección IP remota
-Se trató de movimientos atípicos para el perfil del cliente
-El sistema bancario no activó alertas automáticas ni bloqueos preventivos
Para el juez, la ausencia de mecanismos capaces de detectar ese comportamiento anormal configuró un incumplimiento del deber de seguridad.
La sentencia remarcó que el avance de las estafas digitales obliga a las entidades financieras a implementar herramientas más sofisticadas de prevención, incluyendo validaciones contextuales, monitoreo de operaciones sospechosas y sistemas biométricos.
LA RESPONSABILIDAD DEL BANCO AÚN CUANDO EL CLIENTE ENTREGÓ DATOS
Uno de los aspectos centrales del fallo fue la diferenciación entre la conducta del usuario y la responsabilidad de la entidad financiera.
El tribunal reconoció que el cliente proporcionó información sensible a los estafadores, pero consideró que esa circunstancia no resultó suficiente para romper el nexo de responsabilidad del banco.
Según la sentencia, la entrega de datos fue una condición que permitió la maniobra, pero no la causa determinante del daño. El juez entendió que el perjuicio pudo concretarse porque el sistema de seguridad de la entidad no detectó operaciones claramente anómalas.
En esa línea, el fallo sostuvo que el riesgo derivado de la operatoria digital forma parte de la actividad bancaria y no puede ser trasladado íntegramente al consumidor.
QUÉ INDEMINIZACIÓN ORDENÓ LA JUSTICIA
La condena incluyó:
-La restitución de los fondos transferidos
-Una suma por daño moral
-Una multa civil en concepto de daño punitivo
-El monto total superó los $4 millones, más intereses.
El juez consideró acreditada la afectación emocional sufrida por el cliente, quien manifestó angustia, pérdida de confianza y dificultades personales derivadas del episodio. También valoró que el dinero sustraído estaba destinado a gastos vinculados con salud y planificación familiar.
Respecto del daño punitivo, previsto en la Ley de Defensa del Consumidor, la sentencia indicó que su finalidad es sancionar incumplimientos graves e incentivar mejores prácticas de seguridad por parte de las empresas.
Fuente: Ipro.
