Tras ser víctima de pishing, M. obtuvo un fallo favorable en una demanda por daños y perjuicios contra un banco. La Corte Provincial aseguró que la entidad no garantizó la seguridad en las operaciones digitales y destacó la posición vulnerable de la mujer, en tanto consumidora. Cuestionó que se le trasladara la responsabilidad a ésta sin aportar pruebas y condenó a la institución a pagar $ 1.871.994, más intereses.
El sábado 2 de julio de 2022 M. accedió a su cuenta de banco desde la computadora de su casa y detectó tres operaciones que no había realizado. Se trataba de transferencias por montos de $ 1.000, $ 10.000 y $ 82.000 a un destinatario no identificado. Inició una demanda por daños y perjuicios contra la entidad financiera: esos fondos representaban su único ingreso.
El Banco de Corrientes se defendió al afirmar que la damnificada había compartido en forma voluntaria sus datos personales y bancarios con alguien de su entorno, A. Y manifestó que actuó con rapidez al dar de baja sus credenciales de acceso y gestionar, sin éxito, la recuperación del dinero.
Los integrantes del Superior Tribunal de Justicia, tal como lo hicieran el Juzgado Civil y Comercial y la Cámara de Apelaciones de Curuzú Cuatiá, rechazaron el planteo del banco. Señalaron que el argumento del banco se asentaba en una concepción errónea de la responsabilidad del consumidor y en una lectura sesgada de los hechos probados.
El banco como custodio de fondos ajenos
“La confianza en un tercero no autoriza ni legitima la actividad fraudulenta de otro sujeto que, mediante técnicas de engaño o suplantación de identidad (como el phishing), ejecutó operaciones sin el consentimiento de la titular” aseguró el ministro doctor Guillermo Semhan.
El phishing es un ciberataque en el que suplantan la identidad de una fuente de confianza, como un banco o una empresa, para engañar a las víctimas y que revelen información confidencial como contraseñas, datos de tarjetas o información bancaria.
El autor del primer voto de la sentencia n° 146/25 indicó que el banco intentó transformar un delito de pishing en un acto voluntario o culposo de la víctima.
Y ahondó: “El banco no acreditó la existencia de culpa grave, ni dolo, ni siquiera negligencia imputable a la damnificada; en cambio, quedó en evidencia una deficiente política de seguridad bancaria, incompatible con su rol y las exigencias del marco legal vigente”.
Las pericias informáticas fueron contundentes: confirmaron la manipulación externa de los datos de usuario y contraseña, sin que se hubiera implementado un sistema de doble validación adecuado.
El propio informe interno del banco admitió que la operación se realizó desde un iPhone (IMEI identificado), dispositivo que no pertenecía ni fue vinculado a la víctima, que no utilizaba la aplicación sino el home-banking, desde una computadora fija.
Un banco actúa como custodio de fondos ajenos, expresó el doctor Semhan, y su deber de seguridad es objetivo y agravado. Las herramientas tecnológicas que administra -como el AppMobile- deben contar con mecanismos de doble autenticación, monitoreo de patrones inusuales, alertas, y control sobre IPs o dispositivos de acceso, continuó.
Los ministros coincidieron en que si una transacción se ejecutó desde un dispositivo no habitual (un iPhone, por ejemplo) y el banco tenía capacidad para detectarlo (como en este caso), entonces su omisión en bloquear o alertar la operación configuraba una violación a su deber de previsión y vigilancia.
La obligación de seguridad integra el contenido del contrato celebrado con el consumidor (artículos 5 y 40 de la Ley de Defensa del Consumidor) y su incumplimiento resultaba evidente ante una operación fraudulenta, cuya trazabilidad el propio banco no pudo explicar.
Argumentos discriminatorios
El fallo además consideró discriminatorios los argumentos del banco que, al intentar desestimar el daño moral en la demanda, apeló a su edad. La entidad había argumentado que la damnificada tenía 62 años y sugirió que se trataba de una persona joven por lo que el perjuicio no era significativo.
