Las técnicas son diversas, pero tienen como denominador común el engaño y un sentido de la urgencia, del apuro, para evitar que la persona piense. Así, voluntariamente, entre claves de home banking o permite a los delincuentes el acceso para hacerse de los fondos. Las transferencias no son reversibles, y recuperar el dinero puede ser difícil, tras un proceso judicial en el fuero civil o comercial con chances acotadas.
Estafa: cuándo hay responsabilidad del banco o fintech
Lo central en estos casos es determinar cuándo hay una responsabilidad civil del banco, por no haber custodiado bien los fondos, y cuándo culpa de la víctima que podría eximir esa responsabilidad.
«Hay ciertos casos que equivalen a darles las llaves de tu casa», explican a iProfesional desde una entidad fintech. «En esos casos por más medidas que tomemos, el ladrón se va a apropiar de los fondos y nosotros tratamos de instruir a la gente, pero no siempre prestan atención», explican.
Sin embargo, es también cierto que un sistema seguro y robusto debe ser a prueba de errores y engaños. Al menos los más evidentes. Detectar transacciones inusuales y tener medidas de seguridad estándar en la industria. Por eso, no podemos decir que sea tal o cual nivel de seguridad.
En forma similar a los casos de mala praxis, mucho dependerá de los niveles generalmente aceptados en un momento dado, para determinado tipo de transacciones y de la debida diligencia. Cuando esto no está presente, se activa la responsabilidad del banco.
En ciertos casos, se determinó que hay responsabilidad del banco incluso sin culpa. Es decir, responsabilidad objetiva, como se le llama. Contrariamente, en otros casos se podría eximir de responsabilidad al banco porque puede ser un caso de notoria torpeza del cliente. Lo cierto es que muchas sentencias son provisionales, medidas cautelares, y se torna difícil escribir reglas claras, por lo casuístico y porque muchos casos se resuelven en mediación, un acuerdo confidencial antes del juicio. Veamos algunas sentencias y reglas.
Responsabilidad objetiva
Una persona alegó que sufrió la sustracción de fondos de su cuenta debido a una maniobra fraudulenta con su tarjeta de débito. El banco fue acusado de no implementar las medidas de seguridad necesarias para prevenir el fraude, en particular porque ya se habían registrado múltiples hechos similares.
En ese caso, los delincuentes obtuvieron su PIN (clave personal) y, utilizando una tarjeta duplicada, retiraron dinero de su cuenta a través de cajeros automáticos. El cliente demandó al banco por los daños materiales y morales sufridos. Acusó a la entidad financiera de no haber tomado las precauciones de seguridad necesarias, a pesar de estar al tanto de estas maniobras fraudulentas.
El banco, por su parte, sostuvo que el actor fue responsable al haber facilitado su clave a terceros y que había advertido al cliente sobre las medidas de seguridad, incluyendo la importancia de no revelar el PIN. Además, argumentó que había denunciado estos fraudes ante la justicia penal y que la responsabilidad recaía en los delincuentes, no en la institución bancaria.
El Juzgado Comercial de primera instancia falló a favor del cliente, al determinar que el banco era responsable por no brindar un sistema de seguridad adecuado. La sentencia se basó en el carácter de relación de consumo entre las partes, lo que implica que el banco, como proveedor de un servicio, tiene una responsabilidad objetiva bajo la Ley de Defensa del Consumidor (nro. 24240).
La Cámara de Apelaciones confirmó la sentencia de primera instancia, destacando varios puntos clave:
- Responsabilidad Objetiva: La Cámara determinó que el banco tenía una responsabilidad objetiva, lo que significa que no basta con demostrar la culpa del cliente. El banco debía garantizar la seguridad de las operaciones realizadas con tarjetas y cajeros automáticos.
- Falta de Seguridad en el Sistema: El tribunal observó que el fraude fue posible debido a la duplicación de la tarjeta de débito, lo que revela una falla en el sistema de seguridad del banco. Se señaló que, aunque el actor reveló su PIN bajo engaño, esto no eximía al banco de su responsabilidad, ya que el sistema de seguridad falló al permitir la duplicación de la tarjeta.
- Normativa Bancaria: La Cámara de Apelaciones recordó que el Banco Central (BCRA) les exige a las entidades bancarias implementar mecanismos de seguridad informática que garanticen la fiabilidad de las operaciones, lo que en este caso no ocurrió.
- Daño Moral: Además de restituir los fondos retirados indebidamente, se confirmó la indemnización por daño moral, dado que la situación generó angustia y sufrimiento al cliente, quien vio sus ahorros comprometidos sin que el banco brindara la protección adecuada.
El caso del phishing a una persona jubilada
Un jubilado, fue víctima de phishing en mayo de 2021. Su hija recibió un llamado falso de ANSES y, siguiendo instrucciones, realizó una operación en el cajero automático con la tarjeta de su padre, lo que resultó en la aprobación fraudulenta de un préstamo por un monto elevado (en comparación con su jubilación era bastante elevado) y varias transferencias, las que agotaron los fondos de la cuenta.
Tras descubrir el hecho, el jubilado, el actor pidió el bloqueo de la cuenta y denunció el hecho, pero el banco continuó debitando las cuotas del préstamo no solicitado. El banco alegó que el actor fue negligente al compartir sus claves, rompiendo el nexo causal, pero el tribunal rechazó este argumento, destacando la dificultad de evitar estafas de phishing, especialmente para consumidores vulnerables.
Para determinar la responsabilidad del banco, el Tribunal tuvo en cuenta estos puntos claves:
- Consumidor Hipervulnerable: Se reconoció la vulnerabilidad del actor y su hija, debido a su edad y discapacidad, aplicando una protección reforzada conforme a la Resolución 139/2020.
- Deber de Seguridad: El banco fue responsable por no garantizar la seguridad adecuada de sus servicios, considerando que la contratación digital es una actividad riesgosa.
- Actividad Riesgosa: El tribunal calificó las operaciones electrónicas como riesgosas, lo que impone responsabilidad objetiva al banco.
Para leer más del tema y sobre algunas acciones legales para encarar, aparte de la denuncia penal, puede verse esta otra nota de iProfesional.
Finalmente el Tribunal declaró la nulidad del contrato de préstamo y reintegrar los fondos al jubilado, aparte de un resarcimiento por el daño moral sufrido. El banco, básicamente, no custodió de manera adecuada los fondos.
Mercado Pago, Market Place y una estafa con final
En otro caso, la propietaria de un tractor publicado en la plataforma Market Place de Facebook recibió una llamada de un supuesto interesado en la compra. El interlocutor, que se identificó como Martín (nombres cambiados), parecía interesado en la adquisición del vehículo.
Le hizo preguntas técnicas sobre el tractor, lo que tranquilizó a la vendedora, haciéndole creer que estaba tratando con un comprador legítimo. Una oferta demasiado buena para ser verdad.
Martín insistió en realizar un adelanto de $700.000 para asegurarse la compra. La vendedora, sin sospechar la trampa que se estaba tendiendo, proporcionó el Alias y el CBU de su cuenta en Mercado Pago. Sin embargo, la operación no se concretaba. Según Martín, la cuenta de destino estaba rechazando la transferencia.
El tono de Martín cambió y se volvió más imperativo. Insistió en que la vendedora debía realizar ciertas operaciones desde su cuenta personal para «validar biométricamente» su identidad y liberar la transacción. Bajo presión, la vendedora siguió las indicaciones del supuesto comprador, sin darse cuenta de que estaba cayendo en una trampa.
A instancias de Martín, la mujer solicitó un préstamo de $50.000, que inmediatamente fue transferido a la cuenta de un tercero, quien resultó ser parte de la red de estafadores. Posteriormente, se le ordenó realizar otra transferencia por $106.000, lo que hizo sin dudar, ya que Martín la convenció de que todo formaba parte del proceso de validación. La situación empeoró cuando Martín amenazó con cerrar sus cuentas si no seguía sus instrucciones al pie de la letra. La otra víctima que estaba presente durante toda la conversación, ofreció usar su cuenta bancaria para resolver el problema. Sin embargo, esto solo complicó aún más las cosas.
La otra víctima terminó solicitando tres créditos por un total de $3.750.000, bajo la dirección del estafador. Estos fondos fueron transferidos rápidamente a cuentas de terceros, cómplices en la estafa. Una vez realizadas las transferencias, Martín cortó la comunicación, según cuenta la sentencia compartida por un colega especialista en la materia en su perfil de Linkedin.
Fue la hija de la vendedora quien, al llegar a casa, la hizo darse cuenta de que habían sido víctimas de una estafa. Intentaron recuperar los fondos, pero tanto el banco como la plataforma de pagos rechazaron sus reclamos, alegando que las operaciones habían sido realizadas de manera legítima.
Ante esta situación, las víctimas solicitaron una medida cautelar para suspender los débitos automáticos de las cuentas afectadas, así como la devolución de parte del dinero transferido. El tribunal reconoció la verosimilitud del derecho de las víctimas y ordenó la suspensión de los débitos y la devolución de $106.000 a una de las cuentas, aunque rechazó la devolución de una suma mayor solicitada por falta de pruebas documentales.
La resolución enfatiza que «no puede perderse de vista que, en principio, no recae sobre el particular, sino sobre quien desarrolla su actividad de manera profesional, la responsabilidad de extremar los recaudos de seguridad para prevenir situaciones que puedan dar lugar al fraude (art. 1725 CCyCN).»
El juez subraya el «riguroso deber de seguridad en cabeza de los bancos y entidades financieras, tanto más agravado cuando de obtención de fondos y préstamos por medios electrónicos se trata.»
Esto implica que los bancos no solo deben tener medidas de seguridad estándar, sino que deben estar constantemente actualizándolas para hacer frente a las nuevas formas de fraude.
De todas maneras, este caso aún no tiene sentencia definitiva y mucho menos firme, con lo cual esta medida es provisoria.
Algunas reglas básicas
Como dijimos al principio, en general es un tema de apreciación y de los hechos del caso. Aparte de estos casos, hay muchos precedentes que con carácter de medida cautelar ordenan frenar el descuento de los fondos. Y es posible que tras esta sentencia provisoria las partes logren un acuerdo, con lo cual el proceso judicial termina una vez que se homologa En otros casos, puede haber una sentencia definitiva que determine y deslinde las responsabilidades.
Mucho depende de las características de cada caso, de las condiciones de la víctima, de si el banco obró de modo diligente e incluso así si no hubo un hecho de la víctima.
A continuación algunas reglas, de carácter general y preliminar, para determinar la responsabilidad del banco ante un eventual fraude.
1. Responsabilidad del Banco por Falta de Medidas de Seguridad Adecuadas
El banco es responsable si no implementa medidas de seguridad razonables y acordes a la tecnología disponible en cada momemto (lo usual en el mercado, más allá de la normativa) para proteger los datos personales y las operaciones electrónicas de sus clientes. Es un tema de gestión de riesgo. Ejemplo: Falta de mecanismos de alerta ante transferencias atípicas en cortos periodos de tiempo. En igual sentido, será responsable si no detecta y bloquea actividades inusuales o sospechosas en las cuentas de los clientes, tales como múltiples transferencias en poco tiempo o la contratación de productos financieros fuera del comportamiento habitual del cliente.
De la misma manera, si un fraude de phishing resulta en la obtención de un préstamo o la transferencia de fondos sin el consentimiento del cliente, y el banco no toma medidas adecuadas para verificar la autenticidad de la solicitud, también será responsable.
2. Exoneración de responsabilidad si el cliente comparte voluntariamente sus datos
El banco puede no ser responsable, si el cliente comparte voluntariamente sus credenciales de acceso (como usuario y contraseña) con terceros, facilitando así la realización del fraude, siempre que el banco haya advertido claramente sobre los riesgos de compartir estas credenciales. Siempre que haya sido advertido de los riesgos e informado en cada caso de no hacer esto.
El banco puede no ser responsable si la estafa ocurre debido a que el cliente no toma las precauciones básicas recomendadas para proteger sus datos, como no actualizar contraseñas o ignorar advertencias de seguridad. De todas formas, los sistemas suelen detectar estos casos y en cierto modo obligan a realizar estas acciones para continuar con su uso seguro.
Sergio Mohadeb es abogado, divulgador de temas legales y creador de Derecho En Zapatillas. En Twitter @dzapatillas