La Justicia responsabilizó a un banco y a la víctima por una maniobra de “phishing”

Una usuaria de banca digital perdió una suma considerable de dinero después de sufrir un robo de su teléfono y caer en una maniobra de estafa. La Cámara Nacional de Apelaciones en lo Comercial confirmó el fallo de primera instancia, que distribuyó la responsabilidad entre la clienta y la entidad financiera. La sentencia especificó que la víctima deberá soportar el 25% del perjuicio económico, mientras que el banco correrá con el 75% restante, por considerar que ambas partes contribuyeron al resultado.

La afectada relató que, tras el robo de su celular, comenzó a recibir mensajes en WhatsApp de una persona desconocida que afirmaba haber depositado por error una suma en su cuenta bancaria y solicitaba la devolución. La comunicación incluyó un supuesto comprobante de transferencia. Al no visualizar la acreditación del monto en su cuenta, la clienta intentó verificar detalles de la operación y consultó por el método de envío, mencionando a una plataforma virtual.

De acuerdo con el expediente judicial, bajo la impresión de estar solucionando el error de un tercero, la mujer accedió a realizar una transferencia bancaria para “devolver” el dinero, utilizando para ello el sistema de homebanking de su entidad. El acceso al sistema requirió ingresar un segundo factor de autenticación, código que solo la dueña de la cuenta podía recibir y utilizar. Este dato resultó clave para entender cómo los delincuentes lograron consolidar la operación fraudulenta.

Poco después, el saldo de la cuenta bancaria fue retirado por medio de una maniobra digital, gracias a que la cuenta destinataria había quedado agendada durante la transferencia realizada en respuesta al pedido del supuesto tercero. Se produjo de esta manera un vaciamiento total de los fondos que la clienta tenía en la entidad. La maniobra, aunque no idéntica, mantiene similitudes con las conocidas como phishing, donde los atacantes engañan a los usuarios para extraer información sensible.

“A través del ´Phishing’ se engaña a los usuarios de internet para que proporcionen sus datos personales, como contraseñas o claves de acceso a cuentas bancarias, utilizándose llamadas telefónicas, aplicaciones de mensajería, correos electrónicos o redes sociales, a través de las cuales el estafador (phisher) se hace pasar por una persona o entidad de confianza para establecer comunicación con la víctima", señala la Cámara en su resolución.

La sentencia de primera instancia, dictada en 2024, determinó que la entidad financiera debía afrontar el 75% de la suma reclamada, lo que incluía tanto el monto sustraído como el daño moral ocasionado y los intereses correspondientes desde el momento de la sustracción. El magistrado también dispuso una distribución de costas proporcional a la responsabilidad atribuida a cada parte.

Se refirió a la Comunicación “A” 6017 del Banco Central de la República Argentina. Esta norma impone la obligación de disponer sistemas de capacitación, monitoreo, control y gestión de incidentes, además del resguardo de la integridad de los canales electrónicos.

En el análisis de la Cámara, segunda instancia judicial, se ponderó que los bancos operan bajo un estándar agravado de responsabilidad frente a sus clientes, derivado del riesgo propio de las actividades digitales y la asimetría técnica entre la institución y el usuario. La jurisprudencia citada recuerda que la responsabilidad objetiva de las entidades exige que solo puedan eludir sus obligaciones si demuestran una causa totalmente ajena.

No obstante, los camaristas subrayaron que en este caso existió una conducta activa de la clienta que contribuyó a la concreción de la estafa. El fallo remarcó que, tras perder el control sobre su teléfono móvil, la usuaria debió extremar recaudos y evitar transferencias a personas desconocidas. El tribunal juzgó que la introducción voluntaria del código de autenticación posibilitó la transferencia posterior sin validaciones adicionales de seguridad.

El fallo descartó que los hechos se encuadren de manera plena en técnicas habituales de ciberdelito como malware o hacking, pero reconoció la presencia de elementos propios del “phishing”. La demanda reclamaba, además, la imposición de un daño punitivo contra la entidad, al considerar que prácticas similares generan un perjuicio sistemático a los consumidores que, en muchos casos, no cuentan con herramientas para iniciar una acción judicial.

Los magistrados explicaron que, aunque el banco incumplió su deber de seguridad, no existieron elementos suficientes para atribuirle una conducta dolosa ni una culpa grave, condiciones necesarias para habilitar la aplicación de la multa civil según el artículo 52 bis de la Ley de Defensa del Consumidor. La resolución judicial detalló que los informes sobre el auge de fraudes digitales no demuestran que la organización actúe con desdén hacia los derechos de sus clientes.

La Cámara también rechazó el reclamo por un monto mayor de daño moral, argumentando que la reducción efectuada en la sentencia de primera instancia se sustentó en la concurrencia de culpas. Bajo esa premisa, la cuantía en concepto de daño moral, fijada en $200.000 más intereses, fue considerada razonable.

La parte demandante apeló la proporcionalidad en la distribución de costas (gastos del proceso), argumentando que la responsabilidad recaía en su totalidad sobre la entidad financiera. La Cámara ratificó la decisión inicial y explicó que la atribución de costas responde al grado de participación de cada parte en la producción del perjuicio reclamado.