Por Gabriela A. Abad (*)
¿Corresponde atribuir responsabilidad civil a los bancos ante estafas electrónicas a sus usuarios mediante redes sociales?
1.- Phishing. Concepto.
El phishing, traducido al idioma castellano, significa cosecha y pesca de contraseñas, definido como el uso de técnicas de ingeniería social, donde se engaña y manipula psicológicamente a la víctima para que revele datos que no brindaría en circunstancias normales [1].
No se trata de un fenómeno nuevo, pues se reinventa y perfecciona constantemente. Con anterioridad a la aparición de la pandemia a raíz de la propagación del COVID 19, las maniobras de engaño principalmente se centraban en ataques a través de cajeros automáticos, llamados telefónicos suplantando identidad, correos electrónicos falsos o mediante clonación de tarjetas de débito o crédito.
El aislamiento social, preventivo y obligatorio como consecuencia de la pandemia, provocó un aumento del uso y acceso permanente de las redes sociales por parte de los usuarios para dar respuesta a sus necesidades, según lo informa el Centro Latinoamericano y del Caribe de Información en Ciencias de la Salud (BIREME)[2].
En materia bancaria, los consumidores se vieron obligados prácticamente a sustituir la atención personalizada, para volcar sus consultas, reclamos u operaciones ante los Bancos mediante Facebook, Instagram o Twitter, circunstancia que fue aprovechada por ciberdelincuentes para engañarlos mediante perfiles bancarios falsos, bajo la apariencia de redes sociales oficiales. Es así como explotaron la vulnerabilidad e inexperiencia de los usuarios para captar sus datos y claves bancarias personales, haciéndose fácilmente de dinero ajeno.
Ante este contexto, la responsabilidad civil de los Bancos involucrados se pone en relieve, toda vez que, frente al acaecimiento de cada estafa electrónica, los consumidores encuentran vulnerados sus derechos a la seguridad, información y protección de los intereses económicos (consagrados en la Constitución Nacional, Ley 24.240 y Código Civil y Comercial de la Nación) que, a su vez, son deberes propios de las entidades bancarias.
A ello se suma la obligación de concientización y capacitación de seguridad informática de toda entidad financiera, con la finalidad de llevar a cabo la temprana detección y prevención de apropiación ilegítima de datos personales de los usuarios bancarios, conforme la normativa que emana del Banco Central de la República Argentina.
Frente a este nuevo escenario de técnicas de phishing mediante redes sociales como vehículo conductor, experimentando un considerable aumento con motivo a la pandemia [3], el presente trabajo incursionará -a la luz de la normativa vigente y jurisprudencia relacionada- en el análisis de la responsabilidad de las entidades bancarias ante sus usuarios víctimas de estafas.
2.- El deber de seguridad de los Bancos.
La obligación de seguridad emana directamente del Art. 42 de la Constitución Nacional que enumera entre los derechos básicos de los consumidores “la protección de su seguridad e intereses económicos“.
En la misma dirección el Art. 5° de la Ley 24.240 establece la obligación de seguridad en sentido estricto y advertencia en el homónimo artículo de su decreto reglamentario, el Art. 6° el deber de advertencia y finalmente el Art. 40° la responsabilidad por el riesgo de la cosa.
A la luz de la normativa consumeril vigente, la responsabilidad del Banco ante las estafas electrónicas bancarias es palpable atento apariencia de confiabilidad del sistema brindado, en tanto es la propia entidad que ofrece e impone el uso de home banking y redes sociales para la comunicación con los consumidores.
Al momento de elegir la institución bancaria el usuario deposita la confianza en ella, en el entendimiento de que su dinero se encuentra resguardado y podrá disponerlo cuando quiera.
El hecho de que un ciberdelincuente engañe a los consumidores para acceder a sus claves y violentar el sistema informático del banco, no es una causante para liberar de responsabilidad a la entidad, quien tiene la obligación de extremar las medidas de seguridad para evitar los previsibles y reiterados ataques informáticos.
La Revolución Tecnológica del Siglo XXI nos fue llevando a la digitalización de nuestra vida, pero de manera avasalladora la pandemia, nos la impuso de manera excluyente viéndonos obligados a la utilización de las instituciones financieras y medios digitales como única forma de satisfacción de nuestras necesidades. Más aún, en materia de tecnología, todos los consumidores son vulnerables, y en algunos casos, hipervulnerables.
En esa inteligencia el presupuesto básico de los servicios que ofrece la entidad es que éstos sean brindados, tanto cuando se haga en forma personal como cuando lo sea por medio de elementos mecánicos o electrónicos, con total seguridad para el cliente.
El Banco al ofrecer a sus clientes un nuevo modo de relacionarse comercialmente con él, debe procurar como mínimo la misma seguridad que si tal operatoria se realizara personalmente.
Esta seguridad está dada prioritariamente por la confianza que al consumidor le brinda el medio empleado. Confianza que no solo radica en el uso de una clave personal y única, sino también por la esperable inviolabilidad del software utilizado por la entidad.
2.1.- ¿Cómo construir un sistema informático seguro en materia financiera?
Este artículo lejos está de convertirse en un trabajo técnico de ingeniería informática, pero me atrevo a precisar algunas medidas que permitirían evitar la consumación de estafas electrónicas: extremar las instrucciones algorítmicas que permitan detectar automáticamente en el sistema operaciones sospechosas (ya sea por la cuantía de los montos, la inhabitualidad de los movimientos, destinatarios no registrados, etc.), o bien, llevar un registro de direcciones IP seguras o habituales, para que el Banco alerte la existencia de operaciones realizadas desde dispositivos con direcciones de IP no habituales.
Asimismo, volviendo a la vieja usanza, muchas operaciones fraudulentas podrían evitarse si la entidad bancaria exigiría ciertos recaudos para confirmar la operación: un llamado telefónico al cliente corroborando la transacción, o exigiendo la presencia del consumidor en una sucursal física para concretar la operatoria (por ejemplo, la solicitud de un préstamo).
En el supuesto que el banco no adopte medidas de seguridad más complejas como las antes mencionadas, y solo se limite a responsabilizar a los usuarios si divulga o informa sus claves –aún bajo engaño- no hay dudas que deberá responder civilmente por haber generado el riesgo de permitir generar fácilmente ciertas operaciones desde su plataforma online, sin ningún recaudo para asegurarse de la identidad de su cliente.
3.- Comunicaciones del BCRA destinadas a regular el deber de seguridad informático de las entidades financieras.
El Banco Central de la República Argentina, emitió una serie de normas referidas el deber de seguridad y diligencia que deben asumir las entidades bancarias, en lo que concierne al resguardo de la información de los clientes y usuarios, particularmente en las operaciones efectuadas a través de medios remotos. A continuación, detallo las más relevantes:
-Comunicación “A” N° 7175 [4], artículo 2.3. Responsabilidades de los participantes; 2.3.1. Las entidades participantes, ya sea en calidad de originantes o receptoras y los PSPs deberán arbitrar los mecanismos de seguridad apropiados dentro de su competencia para asegurar la transmisión y recepción de las transacciones, como así también tendrán las siguientes responsabilidades: (…) 2.3.2.8: Ofrecer herramientas de mitigación de fraude a sus participantes (…) 2.3.3.5: Utilizar herramientas de mitigación de fraude que permitan identificar patrones sospechosos, y alertar a los usuarios.
-Comunicación “A” N° 7072 [5], artículo 2.2.2.11: “Política “conozca a su cliente”: recaudos especiales a tomar de manera previa a la efectivización de una transferencia, a los fines de continuar con la política de minimizar el riesgo, particularmente con respecto a las cuentas que presenten algunas de las siguientes características:
- Cuentas de destino que no hayan sido previamente asociadas por el originante de la transferencia a través de cajeros automáticos, en sede de la entidad financiera o por cualquier otro mecanismo que ella considere pertinente.
- Cuentas de destino que no registren una antigüedad mayor a 180 días desde su apertura.
- Cuentas que no hayan registrado depósitos o extracciones en los 180 días anteriores a la fecha en que sea ordenada la transferencia inmediata.
(…) En caso de no producirse la justificación del movimiento en el término previsto, la entidad receptora deberá proceder al rechazo de la transferencia.
-Comunicación “A” Nº 6.664 (6)[6], artículo 1.1.1., define al “Usuario de Servicios Financieros”, como “a las personas humanas y jurídicas que en beneficio propio o de su grupo familiar o social y en carácter de destinatarios finales hacen uso de los servicios ofrecidos por los sujetos obligados que se enuncian en el punto 1.1.2., como a quienes de cualquier otra manera están expuestos a una [7]relación de consumo con tales sujetos”, adicionando en su artículo 2.1. Que “los usuarios de servicios financieros tienen derecho, en la relación de consumo respectiva, a: − la protección de su seguridad e intereses económicos (…)”. De dicha normativa se desprende que como principal sujeto obligado a custodiar la seguridad e intereses económicos, es la entidad bancaria, en este caso, BBVA.
-Comunicación “A” Nº 6.878 (7), artículo 3.8.5, dispone “(…) Las entidades deberán prestar atención al funcionamiento de las cuentas con el propósito de evitar que puedan ser utilizadas en relación con el desarrollo de actividades ilícitas”, agregando que “deberán adoptarse normas y procedimientos internos a efectos de verificar que el movimiento que se registre en las cuentas guarde razonabilidad con las actividades declaradas por los clientes”. Asimismo, destaca en reiteradas oportunidades, la “implementación de mecanismos de seguridad informática que garanticen la genuinidad de las operaciones”. Ello, de conformidad con los artículos 1.6.2, 1.6.3, 1.7.2, 1.7.3 y 3.4.5. De la Comunicación citada en el presente párrafo.
-Comunicación “A” Nº 6.017 [8], concerniente a los “Requisitos mínimos de gestión, implementación y control de los riesgos relacionados con tecnología informática, sistemas de información y recursos asociados para las entidades financieras”, se destaca en el artículo 6.3.2.1, que “las entidades deben desarrollar, planificar y ejecutar un plan de protección de sus activos, procesos, recursos técnicos y humanos relacionados con los Canales Electrónicos bajo su responsabilidad, basado en un análisis de riesgo de actualización periódica mínima anual, en su correspondencia con la Matriz de Escenarios y en los requisitos técnico- operativos detallados en los puntos 6.7. Y subsiguientes”, enumerando seguidamente, una serie de funciones y tareas relacionadas con los procesos estratégicos de seguridad para sus Canales Electrónicos, de conformidad con lo que surge del artículo 6.3.2.2. Entre ellas, se ordena a las entidades “(…) contar con un programa de concientización y capacitación de seguridad informática anual, medible y verificable, cuyos contenidos contemplen todas las necesidades internas y externas en el uso, conocimiento, prevención y denuncia de incidentes, escalamiento y responsabilidad de los Canales Electrónicos con los que cuentan (…) adquirir, desarrollar y/o adecuar los mecanismos implementados para la verificación de la identidad y privilegios de los usuarios internos y externos, estableciendo una estrategia basada en la interoperabilidad del sistema financiero, la reducción de la complejidad de uso y la maximización de la protección del usuario de servicios financieros (…) garantizar un registro y trazabilidad completa de las actividades de los Canales Electrónicos en un entorno seguro para su generación, almacenamiento, transporte, custodia y recuperación”, entre otras (cfme. art. 6.3.2.2.). Ello así, define “Concientización y Capacitación (CC)”, como aquel “Proceso relacionado con la adquisición y entrega de conocimiento en prácticas de seguridad, su difusión, entrenamiento y educación, para el desarrollo de tareas preventivas, detectivas y correctivas de los incidentes de seguridad en los Canales Electrónicos” y “Control de Acceso (CA)”, como el “Proceso relacionado con la evaluación, desarrollo e implementación de medidas de seguridad para la protección de la identidad, mecanismos de autenticación, segregación de roles y funciones y demás características del acceso a los Canales Electrónicos” (cfme. arts. 6.2.1. y 6.2.2., respectivamente). Posteriormente, dicha Comunicación, en su artículo 6.7.1., dispone que, “los contenidos del programa de [concientización y capacitación] deben incluir: técnicas de detección y prevención de apropiación de datos personales y de las credenciales mediante ataques de tipo ‘ingeniería social’, ‘phishing’, ‘vishing’ y otros de similares características”, mientras que en el artículo 6.7.4., en lo referente a los mecanismos de monitoreo y control de las entidades bancarias, resalta que, “las entidades deben disponer de mecanismos de monitoreo transaccional en sus [canales electrónicos], que operen basados en características del perfil y patrón transaccional del cliente bancario, de forma que advierta y actúe oportunamente ante situaciones sospechosas en al menos uno de los siguientes modelos de acción:
- Preventivo. Detectando y disparando acciones de comunicación con el cliente por otras vías antes de confirmar operaciones.
- Reactivo. Detectando y disparando acciones de comunicación con el cliente en forma posterior a la confirmación de operaciones sospechosas.
- Asumido. Detectando y asumiendo la devolución de las sumas involucradas ante los reclamos del cliente por desconocimiento de transacciones efectuadas”.
Asimismo, el BCRA en su página web, publicó un artículo titulado “Lineamientos sobre ciberseguridad” instando a las entidades financieras, los terceros y todo el sector financiero “establecer estrategias y adoptar un marco de ciberseguridad acorde a su tamaño, complejidad, perfil de riesgo y cultura, teniendo en cuenta las amenazas y vulnerabilidades actuales”, haciendo hincapié en el análisis del riesgo presentado por las personas, procesos, tecnologías y datos subyacentes en relación a la propia entidad y en la evaluación de los riesgos propios de una entidad a partir de sus funciones, actividades, canales, productos y servicios, como así también en el proceso de monitoreo, el cual “debería dar soporte para mantener los niveles de riesgo definidos como aceptables por la dirección de la organización y permitir mejorar o remediar las debilidades que corresponda”. A mayor abundamiento, peticiona que las entidades implementen “procesos de respuesta a incidentes y otros controles para facilitar una respuesta oportuna y adecuada” [9]
Queda claro que las normativas del BCRA indican que cada entidad bancaria tiene el deber tomar las medidas adecuadas a los efectos de que, mediante su accionar, no se provoquen daños o, en su defecto, a evitar el agravamiento de los mismos. Dicho deber de prevención resulta fundamental e implica una mirada superadora en materia de derecho de daños. Ya no basta solamente con reparar; es menester prevenir y en su caso tomar medidas adecuadas tendientes a evitar el agravamiento del mismo.
4.- Tratamiento Jurisprudencial sobre la obligación de las entidades financieras de brindar seguridad a sus usuarios.
Frente al aumento exponencial de las estafas electrónicas bancarias, crecieron las acciones judiciales en nuestros tribunales de todo el país.
Antes de citar las resoluciones más recientes, es necesario mencionar el emblemático fallo “Bieniauskas, Carlos c/ Banco de la Ciudad de Buenos Aires” [10] sentencia de fecha 15 de Mayo de 2008, la Cámara Nacional de Apelaciones en lo Comercial con los magistrados Gerardo G. Vassallo, Juan J. Dieuzeide y Pablo D. Heredia, dictaron una resolución ejemplar, responsabilizando al banco por los perjuicios padecidos por el actor al consumarse un hecho ilícito que derivó de la extracción irregular de los fondos que el actor poseía en la caja de ahorros abierta en el Banco demandado. El Banco mantuvo su débil defensa, atribuyendo “culpa” al consumidor por haber informado sus claves. Con gran acierto, la justicia consideró que “una de las obligaciones primordiales del Banco, que constituye el presupuesto básico de los servicios que ofrece, es que éstos sean brindados, tanto cuando se lo haga en forma personal como cuando lo sea por medio de elementos mecánicos o electrónicos, con total seguridad para el cliente (…) el sistema informático que maneja en ingreso remoto de clientes al sistema bancario es una cosa riesgosa; situación que resalta con claridad en el caso en estudio, pues mediante un simple ardid ciertos terceros lograron defraudar a más de una centena de clientes (…) Como fue dicho, el actor reconoció haber revelado a terceros su clave personal o “PIN”.. sin embargo tal conducta irregular no alcanza para liberar al Banco de su responsabilidad con sustento en la culpa de la víctima (…) Cabe reparar que el Banco al ofrecer a sus clientes un nuevo modo de relacionarse comercialmente con él, debe procurar como mínimo, brindarle igual seguridad que si tal operatoria se realizara personalmente (…) el hecho de estos terceros (quienes violaron el sistema informático bancario), carece de aptitud para liberar al Banco de su responsabilidad (…) En rigor debía ser objeto de particular atención por la entidad bancaria en orden a ofrecer a sus clientes la suficiente seguridad para evitar los previsibles y reiterados, como se ha visto, ataques de delincuentes. Agresiones que podían concretarse mediante ataques físicos como electrónicos. Al no hacerlo, o fallar en el intento, el hecho de estos terceros no permiten eximir al Banco de su clara responsabilidad (…) Si bien lo expuesto parece suficiente para confirmar la sentencia en estudio, me parece necesario destacar, como lo hace la sentencia, en el carácter profesional del Banco, lo cual le impone una responsabilidad mayor … en rigor existe una relación de superioridad entre el experto y el profano que no puede ser soslayada al tiempo de juzgar sus conductas dentro de una acción de resarcimiento. Tampoco lo es que mediante el uso de cajeros automáticos se concreten depósitos o extracciones de efectivo, transferencias o pagos de servicios (…) En definitiva, son las entidades bancarias quienes se encuentran en una posición ventajosa frente al usuario en tanto ostentan la información y todas las aptitudes técnicas para ofrecer seguridad y en su caso, brindar la prueba que otorgue al Juez un cabal conocimiento de lo ocurrido (…) No puede preguntar el Banco cuál fue su actitud negligente o culpable en tanto su responsabilidad es de carácter objetivo. A todo evento, ha sido demostrado en la causa que su sistema informático fue falible, lo cual lo vuelve incumplidor de sus obligaciones legales y administrativas”.
Si bien el fallo mencionado ya tiene ya algunos años, sus argumentos recobran plena vigencia al día de hoy. A continuación, citaré los últimos antecedentes jurisprudenciales, donde se evidencia una clara tendencia en poner en cabeza de los bancos su responsabilidad civil frente a los consumidores ante los delitos informáticos:
En los autos caratulados “Gabrielich, S. E. c / Banco Santander Rio S.A s/ medida precautoria” [11]que tramita ante el Juzgado Nacional de Primera Instancia en lo Comercial N° 10 Secretaría N° 19, con fecha 22/02/2021, se dictó una medida cautelar ejemplar que ordena al banco demandado a abstenerse a debitar en la cuenta de la actora las cuotas de un préstamo solicitado fraudulentamente por un ciberdelincuente, bajo los siguientes fundamentos: “En una primera aproximación a la cuestión, cabe decir que la verosimilitud del derecho se encuentra –prima facie acreditada. Ello así, en tanto se han acompañado las distintas constancias que darían cuenta, en este limitado marco cautelar y sin que importe adelantar opinión sobre el fondo del asunto, que la accionante sería cliente del banco demandado, que dicha entidad bancaria promueve la atención y operatoria de los usuarios a través de medios electrónicos y las distintas redes sociales, y que, producto de ello, la actora habría sido víctima de la maniobra comúnmente conocida como “phishing”. Apelada la medida por el Banco demandado, con fecha 13 de abril de 2021, con gran acierto, la Cámara Nacional de Apelaciones en lo Comercial – Sala F- confirma la medida ordenada en primera instancia, argumentando: “No cambia las cosas lo manifestado por el banco, en el sentido de resultar ajeno a la maniobra delictiva por cuanto la actora habría facilitado voluntariamente el uso de las claves. Tampoco cuando dice respecto de la información brindada a los clientes (…) Por lo demás, la cuestión evidencia inicialmente rasgos de una contratación que involucra una relación de consumo, lo que permite ponderar “prima facie” una evidente asimetría entre las posibilidades del cliente consumidor y las de la entidad bancaria prestadora del servicio, todo lo cual, partiendo de la premisa que sostiene que todos los consumidores son estructuralmente vulnerables en sus relaciones con los proveedores de bienes y servicios, se torna necesario establecer y garantizar medidas protectorias específicas como aquí se trata. No debe perderse de vista en el análisis, la especialísima protección que el ordenamiento jurídico depara a los consumidores, la cual no se acota a su consagración en la Carga Magna (art. 43 CNC) sino que persiste en todo el articulado del Código Civil y Comercial de la Nación (conf. arts. 1092/1122, arts. 1384 y ss., por citar los más emblemáticos). Así, en tanto es deber de la judicatura el evitar la consumación de un daño mayor, en una operatoria amparada por una legislación de orden público, tal la Ley 24.240 (arg. arts. 65 LDC, art. 10 parte 3°, 960, 1710/11,1082, 1388 último párrafo CCyCN; mutatis mutandi, esta Sala, 1/9/2016”
En los autos “M., A. M. c/ Banco de la Provincia de Buenos Aires s/ Daños y Perj. Incump. Contractual- Exc. Estado” [12] la Sala Tercera de la Excma. Cámara de Apelación en lo Civil y Comercial del Departamento Judicial Mar del Plata, con fecha 23/03/2021, resolvió revocar la sentencia de primera instancia y ordenar en carácter de medida innovativa la abstención por parte del banco demandado de realizar sobre la cuenta del actor “cualquier débito o retención con motivo del préstamo personal” y “en caso de haberse retenido fondos se ordena restituir la totalidad de forma inmediata”. Invocando la comunicación “A” 7199 del BCRA, en cuanto dispone:: “…que los usuarios de servicios financiaros tienen derecho, en toda relación de consumo, a: -la protección de su seguridad e intereses económicos; -recibir información clara, suficiente, veraz y de facil acceso y visibilidad acerca de los productos y/o servicios que contraten – incluyendo sus términos y condiciones- , así como copia de los instrumentos que suscriban; -la libertad de elección; y -condiciones de trato equitativo y digno...” el tribunal superior manifiesta que “coloca a la demandante en un marco protectorio ya que se encuentra en una situación de vulnerabilidad frente a la institución bancaria”. A mayor abundamiento, reflexiona: “el derecho invocado por la parte actora en -su presentación inicial y en la ampliación de la demanda- resulta verosímil en cuanto al “engaño” del cual denuncia haber sido víctima, y también -insistimos, prima facie- en cuanto a la eventual responsabilidad del banco accionado (…) Como se sostiene en la demanda, la entidad financiera pudo haber fallado en su deber de seguridad al permitirle a un tercero suscribir una contratación en su nombre”.
En los autos “Roda, Ramona Lujan, c/ Nuevo Banco de Santa Fe SA s/ demanda de derecho de consumo” [13] el Juzgado de Primera Instancia en lo Civil y Comercial 1ra. Nominación de la localidad de Reconquista, Provincia de Santa Fe, con fecha 03/03/2021 resolvió hacer lugar a la demanda de una consumidora, declarando la ineficacia por nulidad del acto jurídico denunciado (préstamo contratado por canales electrónicos) y fundamenta “a la par de la eficacia en función de las finalidades, corresponde recordar que en la actualidad la equidad ha pasado de ser un criterio de interpretación (introducido en la reforma proyectada en 1968, con claras miras de paliar situaciones de injusticia), para convertirse en el nuevo Código en una fuente autónoma de derechos, toda vez que en su ordenamiento pasan a ser una fuente cuya validez no está supeditada al derecho positivo (v.g. arts. 2 y 1068 del Código Civil y Comercial). Es por ello que, sin perjuicio de todo lo que se pueda llegar a sostener sobre la ineficacia, debo decir que por razones de equidad, no corresponde que el usuario del Banco sufra las consecuencias de un delito perpetrado contra la entidad, porque el banco, como prestador de un servicio público, debe dar al usuario un trato digno, y esa dignidad no estaría siendo atendida si una vez conocidos los detalles del injusto, hace oídos sordos y pretende cobrar a su clienta el capital e intereses como si nada hubiera pasado.” Aquí la justicia hace una interesante reflexión, en cuanto asegura que el delito fue perpetrado contra la entidad, siendo su cliente el canal utilizado por el delincuente informático para llevar a cabo su cometido.
En los autos caratulados “Leoni Augusto, V. C. c/ Banco de la Ciudad de Buenos Aires s/ordinario” [14] que tramita ante el Juzgado Nacional de Primera Instancia en lo Comercial N° 17 Secretaría N° 34, con fecha 30.12.2020, se dictó una medida cautelar contra el banco demandado a favor de la consumidora víctima de phishing, bajo los siguientes fundamentos: “Concurre también en sustento de la pretensión cautelar el hecho de que la actora puso a disposición de la entidad bancaria la suma de $ 160.000, conducta que evidencia prima facie y dentro del limitado marco cognoscitivo de la pretensión cautelar, su desinterés y ajenidad al préstamo que la demandada habría otorgado. Teniendo ello en cuenta y que no puede soslayarse que resulta obligación primordial del Banco brindar los servicios que ofrece –tanto en forma presencial como electrónica- con entera seguridad para el cliente (conf. CNCom, Sala D, “Bieniauskas, Carlos c/ Banco de la Ciudad de Buenos Aires s/ordinario” del 15.05.2008), la medida cautelar ser admitida. Por lo demás, el peligro en la demora se evidencia en el perjuicio económico que pudiere representar para la actora el descuento de las cuotas cuya suspensión solicita. Ello resulta suficiente para tener por acreditado este requisito. Por lo expuesto, la medida cautelar solicitada tendrá acogida favorable (…) Por las consideraciones precedentemente indicadas, se resuelve: a) Previa caución juratoria que se tiene por prestada con lo expuesto en el escrito de inicio, ordenar al Banco de la Ciudad de Buenos Aires que suspenda el cobro y/o se abstenga de efectuar descuento alguno sobre cualquier cuenta bancaria en relación al préstamo personal preaprobado unilateralmente por el Banco (…).
En los autos caratulados “Abal, P. A. c/ Banco BBVA Argentina S.A. s/ ordinario” [15]que tramita actualmente ante el Juzgado Nacional de Primera Instancia en lo Comercial N° 18 Secretaría N° 36, también se ha dado lugar a una medida cautelar, bajo los siguientes argumentos: “En el caso y en la ponderación acotada del presente, sin que implique adelantar opinión acerca de la cuestión de fondo que será de dilucidada en la sentencia, y a efectos de prevenir la comisión de un daño mayor (conf. Art 1710 CCyCN) tengo acreditado prima facie la verosimilitud del derecho invocado, en atención a lo que surge de la documentación aportada y la aparente falta de respuesta oportuna de la entidad bancaria. Por lo demás el peligro en la demora se configura desde el momento en que se siguen debitando cuotas del préstamo, de modo que resulta evidente que de continuarse con esa deducción, agravada por su acumulación, se colocaría al actor en una situación de extrema fragilidad económica. En tal inteligencia, habrá de otorgarse de modo provisional, bajo responsabilidad del peticionario y previa caución juratoria, la medida innovativa requerida, imponiendo a la entidad demandada que se abstenga de continuar debitando cuotas del préstamo y de ejecutar las mismas hasta tanto se dicte sentencia en esta causa”.
En los autos caratulados “Farias, M. L. c/ Banco BBVA Argentina S.A. s/ medida precautoria” [16] que tramita actualmente ante el Juzgado Nacional de Primera Instancia en lo Comercial N° 27, Secretaría 54, con fecha 17 de diciembre de 2020, con gran acierto se dictaminó contra el banco demandado, por hechos similares al aquí ventilado: “Cabe agregar, por último, en relación al relato que hace la actora sobre el modo en que los delincuentes habrían tomado conocimiento de los datos de su cuenta de homebanking para gestionar el préstamo, que su conducta no puede –a priori y sin perjuicio de la valoración que corresponda efectuar con mayores elementos ser catalogada como carente de diligencia. Ello por cuanto pudo interpretar que se encontraba en contacto con personal de la institución bancaria a través de los canales de internet de la demandada (Facebook y Messenger), sin advertir que se trataría de un perfil falso. Es que en principio no recae sobre el particular sino sobre quien desarrolla su actividad de manera profesional, la responsabilidad de extremar los recaudos de seguridad para prevenir situaciones que puedan dar lugar al fraude (art. 1725 CCyCN) (…) Por los fundamentos hasta aquí expuestos, RESUELVO: i. Ordenar al Banco BBVA Argentina S.A. que se abstenga de efectuar descuento alguno sobre cualquier cuenta bancaria en relación al préstamo personal (…).”
En los autos “Pedernera Juan Alberto c/ Banco de la Provincia de Buenos Aires s/ nulidad de acto jurídico (incidente Art. 250 del CPCC)”, [17] la Sala I de la Cámara en lo Civil y Comercial de La Plata hizo lugar a la medida cautelar solicitada por el consumidor y ordenó demandado para que en el plazo de cinco días de notificado suspenda los descuentos y/o retenciones que haga al accionante en su cuenta, originados en los préstamos que se habrían obtenido por las sumas de pesos $ 500.000 y $41.600. Específicamente dictaminó: “Establecido el marco desde el que se juzgará la cuestión, menciono que dentro de los servicios que ofrece una entidad bancaria, aparece la obligación fundamental de que los mismos sean prestados, tanto cuando se opere en forma personal o cuando se lo haga por medios mecánicos y electrónicos, con total seguridad para el cliente, toda vez que existe una incidencia directa sobre el patrimonio del usuario (doctr. Art. 5 de la Ley 24.240, conf. Garrigues, J., Curso de derecho mercantil, T. IV). De esta manera, el Banco Central de la República Argentina estableció la imposición a los bancos de contar con mecanismos de seguridad informática con la finalidad de garantizar la confiabilidad de la operatoria (Comunicación A 6878, 3.8.5.), obligación que aparecería robustecida en el actual marco de aislamiento social preventivo y obligatorio de público y notorio conocimiento. En efecto, la referida institución a través de la Comunicación A 6942 -prorrogada por la Comunicación A 6949- derivó principalmente la operatoria del sistema financiero a los canales electrónicos y de cajeros automáticos”.
En el mismo sentido, en los autos “S.G.M.P. C/ Banco de la Provincia de Buenos Aires S/ Nulidad del Contrato” [18] otra vez la justicia de la Plata, dictó una medida cautelar en favor de una consumidora que fue víctima de phishing y ordenó al Banco “a que se abstenga de efectuar los descuentos a la originados por el préstamo obtenido por la suma de $380.000 el día 09/12/2019 a través del servicio de Homebanking de dicha entidad financiera, hasta el momento del dictado de la sentencia definitiva.” Lo novedoso del caso también, es que la justicia platense intimó a la entidad financiera para que “en el plazo de diez días, informe cuáles fueron las medidas concretas de seguridad adoptadas en relación al servicio de Homebanking para garantizar la identidad del usuario y la fidelidad de la operación que se pretende realizar por dichos carriles, antes y después de los casos denunciados, bajo apercibimiento de valorar su incumplimiento como una presunción en su contra.”
En conclusión, ante el aluvión de estafas electrónicas en el contexto de pandemia, la justicia mayoritariamente falló favorablemente a favor de los consumidores, marcando un horizonte que se caracteriza por una palpable responsabilidad de los bancos ante estafas llevada a cabo por ciberdelincuentes.
5.- Conclusiones.
Los bancos son civilmente responsables frente a los consumidores víctimas de estafas electrónicas, por lo que deberán responder por los perjuicios patrimoniales y extrapatrimoniales ocasionados, de conformidad con los deberes de información y seguridad a los cuales se encuentran obligados. Será necesario que las entidades bancarias intensifiquen los recaudos para una efectiva prevención y concientización ante ataques de ciberdelincuentes en búsqueda de sus datos y claves personales de sus clientes.
(*)Abogada (UBA). Especializada en Derecho del Consumidor.
[1] Borghello, Cristian; Temperini, Marcelo G. I. La captación ilegítima de datos confidenciales como delito informático en Argentina. 41 JAIIO – SID 2012 – ISSN: 1850-2814. Recuperado de http://www.elderechoinformatico.com/publicaciones/mtemperini/JAIIO_DI_Phishing_Camera_Ready.pdf.
[2] Organización Panamericana de la Salud. Publicado (05/05/2020). Las redes sociales y COVID-19: la contribución de BIREME. Recuperado de https://www.paho.org/bireme/index.php?option=com_content&view=article&id=479:redes-sociais-e-covid-19-a-contribuicao-da-bireme&Itemid=183&lang=es
[3] Jara, Fernanda, 22 de Octubre de 2020. Ciberdelito: desde el inicio de la cuarentena, los ataques informáticos crecieron cerca del 70 por ciento. Infobae. Recuperado en https://www.infobae.com/sociedad/2020/10/22/ciberdelito-desde-el-inicio-de-la-cuarentena-los-ataques-informaticos-crecieron-cerca-del-70-por-ciento/[3][3]
[4] COMUNICACIÓN “A” 7175 Ref.: Circular SINAP 1 – 120 Sistema Nacional de Pagos – Transferencias. Sistema Nacional de Pagos – Transferencias – Normas complementarias. Proveedores de Servicios de Pago. Actualización. Banco Central de la República Argentina. Emitida el 05/12/2020 y publicada en Boletín Oficial Nro: 34.543 de fecha 17/12/2020. Recuperado en http://www.bcra.gob.ar/Pdfs/comytexord/A7175.pdf
[5] COMUNICACIÓN “A” 7072. Ref.: Circular SINAP 1 – 109 Sistema Nacional de Pagos-Transferencias. Recaudos especiales sobre transferencias en moneda extranjera. Banco Central de la República Argentina. Emitida el 16/07/2020 y publicada en Boletín Oficial Nro: 34.430 de fecha 21/07/2020. Recuperado en http://www.bcra.gob.ar/Pdfs/comytexord/A7072.pdf
[6] COMUNICACIÓN “A” 6664. Ref.: Circular. RUNOR 1 – 1451. CAMEX 1 – 802. OPRAC 1 – 971. “Protección de los usuarios de servicios financieros”. “Comunicación por medios electrónicos para el cuidado del medio ambiente”. “Exterior y Cambios”. “Tasas de interés en las operaciones de crédito”. Adecuaciones. Banco Central de la República Argentina. Emitida el 05/04/2019 y publicada en Boletín Oficial Nro: 34.092 de fecha 10/04/2019. Recuperado en http://www.bcra.gob.ar/Pdfs/comytexord/A6664.pdf
[7] COMUNICACIÓN “A” 6878. Circular OPASI 2 – 577 Comunicación “A” 6876. “Cuenta gratuita universal”. Actualización de texto ordenado. Banco Central de la República Argentina. Emitida el 24/01/2020 y publicada en Boletín Oficial Nro: 34.296 de fecha 29/01/2020. Recuperado en http://www.bcra.gob.ar/Pdfs/comytexord/A6878.pdf
[8] COMUNICACIÓN “A” 6017. Ref.: Circular RUNOR 1 – 1208 “Requisitos mínimos de gestión, implementación y control de los riesgos relacionados con tecnología informática, sistemas de información y recursos asociados para las entidades financieras”. Modificaciones. Banco Central de la República Argentina. Emitida el 15/07/2016. Recuperado en http://www.bcra.gob.ar/Pdfs/comytexord/A6017.pdf
[9] Banco Central de la República Argentina. Lineamientos sobre ciberseguridad. Recuperado en http://www.bcra.gov.ar/SistemasFinancierosYdePagos/lineamientos-de-ciberseguridad.asp
[10] CAUSA 32.242/2004 – “Bieniauskas Carlos c/Banco de la Ciudad de Buenos Aires s/ordinario” – CNCOM – SALA D – 15/05/2008, (Citar: elDial.com – AA4927)
[11] CAUSA 32.242/2004 – “Bieniauskas Carlos c/Banco de la Ciudad de Buenos Aires s/ordinario” – CNCOM – SALA D – 15/05/2008, (Citar: elDial.com – AA4927)
[12] Causa Nº 171.589 – “M., A. M. c/ Banco de la Provincia de Buenos Aires s/ daños y perj. Incump. contractual (exc. Estado)” – CÁMARA DE APELACIONES EN LO CIVIL Y COMERCIAL DE MAR DEL PLATA (Buenos Aires) – SALA TERCERA – 23/03/2021 (Citar: elDial.com – AAC31E)
[13] Juzgado de Primera Instancia en lo Civil y Comercial 1ra. Nominación de la localidad de Reconquista, Provincia de Santa Fe; Roda Ramona Lujan, c/ Nuevo Banco de Santa Fe SA s/ demanda de derecho de consumo, con fecha 03/03/2021.
[14] Juzgado Nacional de Primera Instancia en lo Comercial N° 17 Secretaría N° 34 de la Capital Federal; Leoni Augusto, V. C. c/ Banco de la Ciudad de Buenos Aires s/ordinario, fecha 30/12/2020.
[15] Juzgado Nacional de Primera Instancia en lo Comercial N° 18 Secretaría N° 36 de la Capital Federal; Abal, P. A. c/ Banco BBVA Argentina S.A. s/ ordinario”, de fecha 23/12/2020.
[16] Juzgado Nacional de Primera Instancia en lo Comercial N° 27, Secretaría 54 de la Capital Federal; Farias, M. L. c/ Banco BBVA Argentina S.A. s/ medida precautoria, de fecha 17/12/2020.
[17] Juzgado Nacional de Primera Instancia en lo Comercial N° 27, Secretaría 54 de la Capital Federal; Farias, M. L. c/ Banco BBVA Argentina S.A. s/ medida precautoria, de fecha 17/12/2020.
[18] Juzgado en lo Civil y Comercial Nº 18 de La Plata; S.G.M.P. C/ Banco de la Provincia de Buenos Aires S/ Nulidad del Contrato, fecha 24/09/2020. Recuperado en https://www.diariojudicial.com/public/documentos/000/093/012/000093012.pdf
Citar: elDial.com – DC2DE4
Publicado el 07/05/2021
Copyright 2021 – elDial.com – editorial albrematica – Tucumán 1440 (1050) – Ciudad Autónoma de Buenos Aires – Argentina
