Fraude bancario: claves filtradas, un préstamo fantasma y una sentencia que analiza fallas en la seguridad digital

Un fallo reciente de la Cámara Nacional de Apelaciones en lo Comercial confirmó la responsabilidad de una entidad bancaria por un caso de fraude electrónico en perjuicio de una clienta. La víctima descubrió movimientos no autorizados en su cuenta bancaria y reclamó ante la Justicia la restitución de los fondos, así como una compensación por daño moral.

Según la resolución, la mujer tenía una cuenta individual en una sucursal de la Ciudad de Buenos Aires. El 20 de abril de 2021, desde el sistema de home banking, se gestionó un préstamo preaprobado por 75.000 pesos y, casi de inmediato, esa suma junto a otros 2.400 pesos propios que estaban en la cuenta fueron transferidos a una cuenta perteneciente a un hombre domiciliado en Córdoba.

La estafa fue conocida por la clienta cuando detectó las transferencias inusuales, motivo por el cual inició un reclamo ante la entidad. El banco argumentó que había implementado las medidas habituales de seguridad y que la operación se pudo concretar porque, en su visión, la usuaria facilitó acceso a terceros a sus credenciales personales. La afectada negó esa versión y acompañó su denuncia con correos electrónicos y documentos enviados inmediatamente después de advertir el fraude. Además, realizó la denuncia penal correspondiente.

En la primera instancia judicial, la magistrada determinó que existía una relación de consumo entre las partes, por lo que aplicó la Ley de Defensa del Consumidor. El fallo sostuvo que las entidades bancarias tienen la obligación de ofrecer altos estándares de seguridad, especialmente en operaciones digitales, en razón de la vulnerabilidad del consumidor frente a los riesgos de fraudes informáticos.

Explicaciones insuficientes

La jueza de primera instancia consideró insuficientes las explicaciones de la entidad financiera respecto de los factores de seguridad del sistema. Señaló que resultan más idóneos otros controles, como la verificación facial, que no se utilizaron. Citó expresamente una comunicación oficial del Banco Central de la República Argentina, que recomienda a los bancos validar la identidad de quienes contraen préstamos en línea.

El banco no logró demostrar que la afectada hubiera entregado voluntariamente sus datos de acceso, ni que se hubiera producido una negligencia de parte de la titular de la cuenta. Tampoco pudo acreditar en el expediente las medidas concretas de autenticación que dice haber implementado al momento específico de la operación. La resolución de primera instancia consideró que la vulnerabilidad del sistema era responsabilidad de quien lo administra.

La sentencia ordenó devolver a la cliente el monto solicitado en el préstamo, restituirle el saldo transferido y otorgar una compensación de 300.000 pesos como daño moral, estimando que el episodio le causó un padecimiento que fue más allá de una simple incomodidad. El tribunal entendió además que la sanción debía incluir intereses y gastos a cargo del banco, aunque no hizo lugar a la multa solicitada en concepto de daños punitivos ni al reclamo por gastos de movilidad, por falta de prueba suficiente.

Tanto la entidad financiera como la usuaria apelaron la decisión. El banco reiteró que el incidente era atribuible a un descuido de la clienta, insistiendo en las medidas preventivas y de concientización que, según su postura, había comunicado a los usuarios. En tanto, la damnificada pidió que se elevara la suma fijada en concepto de daño moral y que se reconocieran los gastos derivados de los trámites para denunciar el hecho y el perjuicio punitivo.

Confirmación del fallo

En instancia de Cámara, las juezas coincidieron en que permanecería firme la aplicación de la Ley de Defensa del Consumidor y la obligación objetiva de seguridad. Destacaron que la actividad bancaria mediante plataformas electrónicas conlleva riesgos que deben ser afrontados por los bancos, quienes poseen posición dominante y mayores conocimientos técnicos para reducir posibles perjuicios a sus clientes.

El tribunal evaluó en detalle la información remitida por la empresa prestataria de servicios digitales, que indicó que los mecanismos explícitos de identificación usados en esa fecha eran limitados. Las magistradas concluyeron que no había constancias suficientes para acreditar que el banco utilizara factores de autenticación robustos ni un mecanismo efectivo que evitara el acceso indebido a la cuenta de la usuaria en ese caso concreto. La Cámara subrayó que ni la existencia de campañas de concientización ni el cumplimiento genérico de estándares excluyen responsabilidad si no se acredita su implementación en el expediente.

En lo referente a la sanción pedida como daño punitivo, la Cámara recordó que ese instituto aplica solamente frente a incumplimientos graves, dolosos o con clara indiferencia frente a los derechos de los clientes, circunstancias que no consideró probadas en este expediente. De igual modo, ratificó el rechazo a los gastos por movilidad ante la falta de pruebas documentales.

Las juezas ordenaron la confirmación total del fallo de primera instancia. Dispuso que todos los gastos del proceso se asignaran a la demandada y destacó que, en estos casos, prima una perspectiva de protección al consumidor.