La Cámara Civil y Comercial de la provincia confirmó un fallo de primera instancia que ordenó al Banco de Formosa a restituir en el plazo de 48 horas a una cliente de la entidad la suma de 100 mil pesos de su sueldo que desconocidos tomaron de su caja de ahorros, mediante una maniobra delictiva conocida como ciberestafa.
El ataque informático ocurrió el 31 de marzo pasado a través de un artilugio que se viene repitiendo en los últimos tiempos: primero se registró un cambio de clave, luego una transferencia a terceros por Mercado Pago de 100 mil pesos y más tarde una serie de operaciones, tales como obtención de información personal, envío de código de verificación, actualización de teléfono y mail, etc.
El fallo de primera instancia fue apelado por el Banco de Formosa disconforme con la resolución, y así el caso llegó a la Cámara Civil y Comercial. Allí, los jueces de la Sala II, Judith Sosa de Lozina y Horacio Roberto Roglan, volvieron a analizar el caso, sopesaron los argumentos de la víctima y de la entidad crediticia, y terminaron dando la razón al juez que dictó la sentencia inicial, el titular del Juzgado Civil y Comercial Nº 5.
Contra el fundamento del Banco que afirmó que no quedó acreditado que haya existido una falta al deber de seguridad, los camaristas señalaron que respecto a los hechos ocurridos, movimientos y cambio de clave con antelación a la transferencia que despojó de su dinero a la denunciante, la entidad no aportó ninguna prueba que sustente las medidas de seguridad que el Banco está obligado a brindar a los usuarios, pese a que la entidad se encuentra en mejores condiciones de demostrarlos teniendo en cuenta su base de datos.
En el nuevo fallo, los jueces dijeron que el Banco de Formosa no desvirtuó la vulnerabilidad de su sistema informático o, al menos, no lo hizo con pruebas que confronten con lo ocurrido y con lo que acreditó la denunciante luego de recibir un correo electrónico a través del cual fue invitada a migrar sus datos del sistema antiguo de Red Link al nuevo Homebanking de la entidad bancaria, ofrecimiento que no fue expresamente negado por el banco y, en su caso, que ese nuevo modo virtual de relacionarse comercialmente con sus clientes brindaba igual o mayor seguridad que una operatoria presencial; ello así dado la falta de relación existente entre los datos originarios registrados por la cliente en su anterior Home Banking los que no guardaban ninguna relación con los nuevos datos ingresados, extremo que por sí solo denota la ausencia de seguridad suficiente ante una señal que el Banco debió advertir para evitar la migración sucedida en forma inmediata al nuevo Homebanking habilitado.
El fallo de Cámara hace foco en que el Banco no probó que cuenta con un sistema de mecanismos de encriptación de robustez reconocida internacionalmente, lo cual selló la suerte del recurso de apelación y sus argumentos, teniendo presente las normas y requisitos establecidos por el BCRA en su carácter de regulador del funcionamiento de los bancos comerciales y en los términos del artículo 21 de la Ley Nº 21.526, mediante la cual emitiera diversas comunicaciones y enumeración de obligaciones de las entidades bancarias para garantizar la efectiva protección de los intereses económicos de los usuarios en operaciones de servicios financieros, lo que da cuenta del interés de dicha entidad por prevenir situaciones como la ocurrida.
A lo expuesto se suma que no fue negado que el hecho investigado tuvo como origen la invitación a los clientes a efectuar la mudanza a un Home Banking, extremos que conforman premisas que prevalecen por todas las demás defensas invocadas.
Medidas de seguridad
El fallo refiere más adelante a una serie de medidas (concretamente el artículo 6.7.1. de la citada ley) que establecen que los contenidos del programa de concientización y capacitación deben incluir técnicas de detección y prevención de aprobación de datos personales y de las credenciales mediante ataques de tipo ingeniería social, phishing; vishing y otros de similares características, como así también la Comunicación A Nº 7072 de fecha 16/07/20 que en su artículo 2.2.2.11 dispone como política “conozca a su cliente” estableciendo una serie de recaudos a tomar de manera previa a realizar una transferencia para continuar con la política de minimizar el riesgo, particularmente con respecto a las cuentas que allí se identifican; insistiendo siempre la citada reglamentación que la entidad bancaria debe tener mecanismos de verificación fehaciente del usuario de los servicios y mediante técnicas de identificación positiva, a fin de constatar previamente a través del resultado del proceso de control y como mínimo, que los puntos de contacto indicados por el usuario no hayan sido modificados en forma reciente pues de ser así, debe ser previamente verificada esa identidad del usuario y recién entonces se estaría en condiciones de comunicar la operatoria a través del punto de contacto disponible, “extremos que en este caso no fueron acreditados por parte del Banco lo que debe ser valorado como sustento de la resolución apelada e improcedencia de las quejas alegadas”.
En virtud de lo considerado, tratado y fundado, los camaristas concluyeron que el recurso de apelación es inviable porque sobre la base del instituto señalado se ubica un plus respecto de los recaudos exigidos cuyo cumplimiento por parte del Banco resulta incuestionable, aún a la luz de estrictez y prudencia de decisiones en tal sentido; máxime teniendo presente el Derecho al Consumidor y, particularmente, lo previsto por sus artículos 5, 40 y concordantes los que han sido correctamente analizados y aplicados en la instancia inicial.
