En un fallo histórico en materia de ciberseguridad, seguridad bancaria y protección al consumidor, un Tribunal de La Plata responsabilizó a un banco por la falta de medidas preventivas en un caso de estafa digital que afectó a una pyme de Chivilcoy, en la provincia de Buenos Aires.
El juez Juan José De Oliveira, a cargo del Juzgado en lo Civil y Comercial Nº9 Departamental, determinó que la entidad bancaria incumplió con su deber de seguridad al no monitorear ni controlar adecuadamente las operaciones realizadas desde la cuenta de la empresa, y la condenó a pagar casi 140 millones de pesos a la víctima.
El monto, inédito en casos de seguridad bancaria, se compone, según el fallo, del equivalente a 100 canastas básicas (al día de hoy son $103.371.600) por incumplimientos en las medidas de seguridad de sus operaciones electrónicas, y agrega la devolución de las sumas sustraídas a la pyme por medio de transferencias fraudulentas ocurridas luego de la estafa.
El caso se remonta al 20 de marzo de 2023, cuando el socio gerente de Grupo Logística Uno, José Luis Aronna, intentó realizar una transferencia a un proveedor a través del sistema de homebanking del BBVA. Durante la operación, la pantalla se congeló y, minutos después, la empresa descubrió que se habían realizado 18 transferencias no autorizadas a cuentas de terceros por un total de 39.999.342,29 de pesos y se había solicitado un préstamo no autorizado por 3.500.000.
Las transferencias fueron dirigidas a cuentas bancarias de personas y empresas desconocidas, algunas de las cuales figuraban en una “lista negra” de cuentas fraudulentas mantenida por el propio banco.
La empresa denunció el hecho ante la entidad y presentó una denuncia penal por defraudación informática, que aún está en trámite.
¿Qué pasó y cómo tuvo lugar la estafa?
En el fallo, el perito informático determinó que la computadora de la empresa estaba infectada con un virus malware. Al acceder al homebanking para hacer una operación de rutina, Aronna ingresó sus claves y el token necesario, como lo hace habitualmente. Pero esa vez, la pantalla se le “tildó”. A partir de ese momento, el malware instalado capturó las credenciales.
De manera remota, los ciberdelincuentes que tenían control del virus, obtuvieron la contraseña y token, y produjeron el vaciamiento de la cuenta corriente bancaria: en menos de 30 minutos los lograron desviar $39.999.342,29 mediante 18 operaciones fraudulentas a 17 cuentas bancarias distintas y solicitaron el préstamo, que también transfirieron a cuentas desconocidas.
Los argumentos del juez para dictaminar la responsabilidad del banco
En principio, el juez encuadró el caso dentro de una relación de consumo, amparada por la Ley de Defensa del Consumidor (Ley 24.240), ya que el servicio bancario no estaba destinado a integrarse en un proceso de producción, sino a facilitar operaciones financieras cotidianas, como el pago a proveedores.
Además, se refiere a la Circular A.7969 del Banco Central de la República Argentina, que establece estándares de protección para los usuarios de servicios financieros, sin distinción entre personas físicas y jurídicas.
Este último es uno de los pilares del fallo: la obligación de seguridad que pesa sobre el banco. El juez sostuvo que, al ofrecer servicios electrónicos como el homebanking, la entidad asume la responsabilidad de garantizar que su sistema sea seguro y confiable.
El fallo señala que el banco no cumplió con esta obligación, ya que no monitoreó ni controló adecuadamente las operaciones: por medio de una acción de ingeniería social (en este caso un malware previamente instalado en la computadora), ajena a la relación contractual entre las partes, un tercero obtuvo los datos del actor y actuando con apariencia del titular de la cuenta, pudo realizar 18 transferencias en menos de 30 minutos, de las cuales solo dos fueron notificadas a través del sistema “challenge”, que envía una alerta al correo electrónico del cliente después de que la operación ya se realizó. Este sistema no es preventivo, sino reactivo, lo que lo hace insuficiente para evitar fraudes.
Además, autorizó transferencias a cuentas fraudulentas, algunas incluidas en una “lista negra” de cuentas sospechosas. Esto demuestra una falta de control y supervisión por parte de la entidad financiera.
La sentencia también afirma que el banco no implementó medidas de seguridad adicionales: a pesar de conocer los riesgos asociados a los ciberdelitos, no adoptó protocolos suficientes para proteger a sus clientes. El fallo menciona que el banco no verificó adecuadamente la identidad del usuario antes de autorizar las transferencias y el préstamo, lo que facilitó el fraude.
En cuanto a la responsabilidad, el juez dijo que el banco ofrecía un servicio electrónico que, por su naturaleza, está expuesto a riesgos como el fraude y el malware. Por lo tanto, tenía la obligación de implementar medidas de seguridad adecuadas para prevenir estos riesgos. Al no hacerlo, incurrió en responsabilidad objetiva.
El banco argumentó que la empresa había actuado con negligencia al no proteger su computadora con un antivirus y al facilitar sus datos a terceros. Sin embargo, el juez rechazó estos argumentos. “El banco no tiene la obligación de controlar las computadoras de los clientes, ni verificar si cuentan o no con antivirus; pero sí está obligado con el usuario de un servicio financiero de cuenta corriente bancaria a prevenir un daño en caso de vaciamiento de una cuenta. Y la prevención no se brindó”, consideró.
En su respuesta, el banco brindó los siguientes argumentos:
- No hay pruebas de que la víctima haya facilitado sus datos: no se demostró que la empresa hubiera compartido sus claves de acceso o que hubiera actuado con ligereza. El juez destacó que el banco no aportó pruebas concretas para sostener esta defensa.
- No puede trasladar su responsabilidad al cliente: aunque reconoce que la entidad advierte activamente a sus clientes sobre la importancia de proteger sus dispositivos, esto no la exime de su obligación de garantizar la seguridad de sus sistemas y no puede desentenderse de los riesgos asociados a su actividad y hacer recaer toda la responsabilidad en el cliente.
El perito informático designado en el caso determinó que el banco no cumplió con dos deberes clave:
- Deber de monitoreo: el banco no supervisó adecuadamente las operaciones realizadas desde la cuenta de la empresa, lo que permitió que se llevaran a cabo transferencias a cuentas no habituales y sospechosas.
- Deber de control: el banco no implementó mecanismos eficaces para detectar y prevenir operaciones fraudulentas, como la verificación de la identidad del usuario antes de autorizar transferencias o préstamos.
El juez concluyó, apoyado en la pericia informática, que el fraude fue posible por una vulneración del sistema de seguridad del banco y fijó el monto de resarcimiento a la víctima.
“Los jueces entendieron que la única manera para que los bancos realicen las inversiones necesarias en materia de ciberseguridad, seguridad bancaria o seguridad de las operaciones electrónicas, es a través de multas ejemplificadoras”, comentó a TN Tecno Marcelo Szelagowski, abogado comercial especialista en ciberseguridad y patrocinante de la empresa demandante.
Y resaltó: “Mientras que pongan multas o daños punitivos como venían haciendo hasta este fallo, los bancos no iban a cambiar su conducta. Porque en la ecuación costo beneficio siempre les iba a resultar favorable pagar un juicio de dos pesos que realizar las inversiones. En este caso ya es distinto, y pone a nuestro departamento judicial de La Plata a la altura de los fallos dictados en los Estados Unidos, líder en materia derecho del consumidor“.
