Condenan al BAPRO a pagar 600.000 a un cliente por una ciberestafa

El fallo es el primero en esta materia que se realiza en el Departamento Judicial La Plata, y no se conoce que haya otro similar en el país, por lo que se convierte en precedente judicial y se lo podría considerar como “ejemplar”.
De esta manera se empieza a resolver la cuestión de fondo sobre las responsabilidades bancarias en estos novedosos hechos delictivos, en este caso con la sentencia dictada en la causa “Suarez Daniel Ricardo C/ Banco de la Provincia de Buenos Aires S/ Nulidad de Contrato”. Se trata de un jubilado de  68 años víctima de “phishing”, al que le habían tomado créditos en su nombre y un adelanto de sueldo que el Banco de la Provincia pretendió cobrárselo.

El asesor letrado de Suarez, el abogado Marcelo Szelagowski, subrayó que la magistrada Tanco “dio un ejemplo de lo que espera la sociedad de parte de la Justicia, máxime en tiempos como los que corren en que se cuestiona a los Jueces duramente.”

Y fundamentó sus dichos: “En este caso en particular, la Sra.Jueza no solo declaró la nulidad del crédito que había sido tomado por los estafadores, sino que tuvo una valiente y compleja decisión de no solo tener por acreditados los hechos, sino tramitar un proceso rápido como marca la Ley de defensa del Consumidor y por sobre todo fijar una sanción ejemplificadora a causa del maltrato sufrido por al actor como por otras víctimas de “phishing”, en un ítem punitivo donde los jueces habían sido muy variables y tímidos en la imposición de sanciones.”

En los considerandos la Dra. Tanco subraya las conclusiones del perito informático en cuanto a que el Banco de la Provincia no cumple con las medidas de seguridad; exigidas por el BCRA, al resaltar: “…El perito pudo establecer una correspondencia entre las personas titulares de las cuentas de transferencia (destino) y las operaciones realizadas y registradas en el log de transacciones. Se pudo observar que existían tanto personas como direcciones IP que correspondían a la provincia de Córdoba, jurisdicción ajena a la demandada…”

Y más adelante agrega: ”… El perito informático dictaminó que la demandada, si bien cumple con las medidas de concientización, capacitación, a integridad y registro y gestión de incidentes, no cumple el monitoreo y control. Este último es un proceso relacionado con la recolección, análisis y control de eventos ante fallas, indisponibilidad, intrusiones y otras situaciones que afecten los servicios ofrecidos por los canales electrónicos, y que puedan generar un daño eventual sobre la infraestructura y la información. Pudo determinar que surgían del log de transacciones operaciones en las que se involucraban montos importantes que no recibieron el tratamiento que correspondía por su carácter de sospechosas o potencialmente fraudulentas.”

Continuó señalando que “tampoco cumple con el control de acceso, el cual es un proceso relacionado con la evaluación, desarrollo e implementación de medidas de seguridad para la protección de la identidad, mecanismos de autenticación, segregación de roles y funciones y demás características del acceso de los usuarios internos y externos a los canales electrónicos.”
 
El Informático Correa ha hecho mención a la comunicación A 7319 del BCRA del 1/7/2021 que estableció la obligatoriedad de mecanismos que se encontraban implementados desde hacía varios años en los canales electrónicos de otras entidades financieras y bancarias, pero que la demandada aún no había establecido a la fecha los hechos. Se regula allí la obligación que tienen las entidades financieras de verificar fehacientemente la identidad de las personas que solicitan la acreditación de créditos preaprobados a través de canales electrónicos y esa verificación deberá hacerse mediante técnicas de identificación positiva, lo que refuerza la obligación que ya tiene la entidad financiera de detectar la posibilidad de engaños de ingeniería social.
 
“Es esperable que una entidad bancaria de la envergadura de la demandada adopte una conducta en la cual pondere los riesgos previsibles, con el objeto de proteger a los usuarios”, agregó.
 
Por otra parte la jueza prestó especial atención en que el actor es un cliente “hipervulnerable” y el cual “había sido víctima de maltrato por parte de la entidad al que ni siquiera habían respondido su reclamo en término, por lo que sentenció: “…La comunicación A 6664 del 5/4/2019, reguló especialmente el trato digno (2.6) y la obligación de brindar respuesta y resolución dentro de un plazo de 10 días hábiles de los reclamos que, relacionados con los servicios que ofrecen y/o prestan, les planteen los usuarios de los servicios financieros. Nada se incorporó a este proceso en oportunidad de contestar demanda que permita establecer cuál fue la respuesta ante la nota presentada por el actor (art. 354 del C.P.C.C.).”

Por lo que definió que “…La causa es la falta de seguridad en el sistema que el banco demandado puso a disposición del accionante. Entonces el hecho o culpa de la víctima -invocada por el banco- no reúne los requisitos para eximir de responsabilidad en cuanto no se trata de un hecho exterior ajeno a la actividad -a sus riesgos intrínsecos- y especialmente a la obligación de seguridad en cabeza del demandado….”-

La falta de respuesta en tiempo de la entidad bancaria y el maltrato que sufriera por parte de la entidad, determinaron que no solo se anulara el préstamo, sino que se condenará al Banco demandado a la devolución del adelanto de sueldo y al pago de una multa de $ 600.000.