Hace un tiempo que venimos advirtiendo desde esta columna del problema de las estafas bancarias, del problema mundial y regional que generan las mismas, y de que, de alguna manera se ha puesto en vilo la seguridad pública y convirtiéndose en tema de seguridad nacional. Ante ese panorama, disimiles han sido las reacciones y posturas, le corresponde nuevamente a la JUSTICIA ARGENTINA como sucedió con el corralito, poner a cada uno en su sitio, y así parece estar sucediendo con los bancos que, nuevamente, se han olvidado del cliente, del usuario y fundamentalmente de las personas, por suerte y con orgullo lo decimos la justicia argentina hoy parece dirigirse a solucionar estas inequidades del sistema de las que los bancos no son precisamente los que salen perjudicados en las mayoría de los casos.
Así surge de un reciente fallo donde se determinó que frente a un caso de Phishing y relación de consumo y a pesar de que el cliente haya proporcionado sus claves personales de homebanking a terceros, el Banco debe responder objetivamente por los perjuicios ocasionados. Se trata del caso U. N. M. c/ Banco Bbva Argentina S.A. s/ abreviado – otros – tram oral – expte. 10176944 Tribunal: Juzgado Civil, Comercial y Familia de San Francisco Sala/Juzgado: 3ª Fecha: 11-feb-2022. Cita: MJ-JU-M-136171-AR | MJJ136171 | MJJ136171.
Los principales fundamentos del fallo no son muy lejanos a los que venimos esgrimiendo desde esta columna como desde nuestros planteos judiciales, y son un buen augurio para el justiciable que padece inerme el daño de bandas y es víctima de delitos complejos sin que los bancos parezcan asumir su responsabilidad, hoy la justicia va por ellos.
En dicho fallo se destaca, “-Corresponde atribuir responsabilidad al banco, en forma objetiva, de acuerdo al art. 40 de la Ley de Defensa del Consumidor 24.240, por los daños que sufrió uno de sus clientes, víctima de phishing, si aquél prestó de manera defectuosa los servicios a su cargo e incumplió sus deberes legales, sin que se hubieran demostrado las eximentes invocadas, advirtiéndose que las medidas desplegadas fueron insuficientes e inadecuadas para dar cumplimiento efectivo a la obligación de seguridad en el entorno digital utilizado por el usuario, lo cual queda puesto de relieve en que, detectado el movimiento sospechoso, envió al cliente un aviso mediante SMS y se comunicó telefónicamente con él para consultar si había solicitado un préstamo personal, a lo que el nombrado respondió rotundamente que no, pese a lo cual aprobó el préstamo preacordado y autorizó las transferencias sospechosas.”
Asimismo se dice, “…El banco que autorizó transferencias y aprobó un préstamo personal en perjuicio de un cliente que había sido víctima de phishing, debe responder por los daños irrogados en forma objetiva, según el art. 40 de la Ley de Defensa del Consumidor 24.240, si el perfil financiero del damnificado -evidenciado en su tarjeta de crédito e ingresos salariales- tornaba irrazonable e inhabitual la solicitud del préstamo tanto como las transferencias realizadas, lo que permitió al banco detectar el carácter sospechoso de esos movimientos y comunicarse telefónicamente con aquél, quien negó haber pedido e préstamo, pese a lo cual autorizó las operaciones, de manera que omitió arbitrar mecanismos de seguridad apropiados dentro de su competencia para asegurar la transmisión y recepción de las transacciones, así como utilizar herramientas de mitigación de fraude, con incumplimiento -entre otras normas- del art. 2.2.2.11 de la Comunicación BCRA A N° 7072.”
Destaca el meduloso fallo que “… el cliente, mediante engaño en una maniobra de phishing, haya proporcionado sus claves personales de homebanking, no configura hecho de la víctima que permita eximir de responsabilidad al banco por los perjuicios irrogados al cliente, si se incumplió la normativa del Banco Central de la República Argentina ( la negrita es nuestra) que impone medidas para mitigar y evitar los casos de phishing, lo que pone en evidencia que esas acciones delictivas son previsibles y evitables mediante la adopción de medidas de ciberseguridad adecuadas, de acuerdo a la condición profesional de la actividad bancaria y propia del deber de seguridad inherente a la relación de consumo, sin perder de vista que el usuario en entornos digitales tiene una ignorancia razonable, siendo víctima de terceros estafadores con conocimientos técnicos.
A manera de profundizar este comentario nos permitimos hacer una cita más “…Ante la toma de conocimiento, por el banco, de que un cliente había sido víctima de phishing, a partir de lo cual se le había acordado un préstamo que no había solicitado y se habían autorizado ciertas transferencias, pese a que no se condecían con su perfil financiero, media incumplimiento del deber de informar conforme arts. 1100 del CCivCom. y 4° de la Ley 24.240, si -entre otras cosas- al concurrir el damnificado a la sucursal, no se le dio explicación alguna de lo ocurrido y la entidad bancaria, quien pudo conocer lo sucedido a partir de la investigación penal a que dio lugar la denuncia formulada por aquél, omitió contestar tres cartas documentos remitidas por el nombrado y rechazó su reclamo administrativo, lo que le fue comunicado mediante un mensaje de correo electrónico que decía: Te informamos que el reclamo ha sido resuelto desfavorablemente de acuerdo al análisis efectuado , lo que no proporciona información clara ni detallada.”
En honor a la brevedad invitamos a la lectura del fallo al que remitimos al lector interesado, pero si debemos concluir que la institución financiera que no brinda condiciones de atención y trato digno y equitativo al consumidor, pese a sus reclamos, y no da respuesta satisfactoria, lo que hace es priorizar la maximización del beneficio en demérito del débil en la relación jurídica -el consumidor perjudicado-, conducta claramente desaprensiva para con este último, quien dió cuenta de la sensación de preocupación, incertidumbre, frustración, impotencia y desesperación generada por sentirse forzado a transitar múltiples e infructuosos caminos debido al errático comportamiento de quien debió brindarle, en primer lugar, un servicio seguro y, en segundo término, una válida solución a sus planteos, hasta tener que acudir a la alternativa del reclamo judicial.
Por ello, siendo que es el banco quien debe tomar medidas que permitan evitar la consumación de estafas electrónicas, como extremar las instrucciones algorítmicas que permitan detectar automáticamente operaciones sospechosas -sea por la cuantía de los montos, la inhabitualidad de los movimientos, destinatarios no registrados, etcétera- o llevar un registro de direcciones IP seguras o habituales, para alertar la existencia de operaciones realizadas desde dispositivos con direcciones de IP no habituales; y siendo que muchas operaciones fraudulentas -por ejemplo, la solicitud de un préstamo- podrían evitarse si la entidad bancaria exigiría ciertos recaudos para confirmar la operación: un llamado telefónico al cliente corroborando la transacción o exigir la presencia del consumidor en una sucursal física para concretar la operatoria, no cabe dudas que la responsabilidad objetiva le cabe a la entidad crediticia y debe responder frente a su cliente consumidor.
Destacamos aquí que la obligación de seguridad de los bancos para con sus clientes se extiende a los servicios digitales, por lo que los bancos deben proveer la gestión, implementación y control de los riesgos relacionados con tecnología informática, sistemas de información y recursos asociados para las entidades financieras, de manera tal que su utilización sea segura parar los usuarios y debe hacerse cargo de atender a todos llevando al límite los arbitrios posibles para minimizar los riesgos a los que habrán de estar expuestos los usuarios. Finalmente reiteramos todo el ordenamiento jurídico debe operar bajo el paradigma protectorio del consumidor consagrado en el art. 42 de la CN. y en la Ley 24.240 y sus modificatorias.
Por suerte la justicia va por nuestros derechos, hoy les toca a los bancos reflexionar, la buena noticia es que la justicia con sus mas y menos, funciona en argentina.