La justicia bonaerense dictó un revés judicial clave para las entidades financieras al fijar un estándar estricto en materia de ciberseguridad y protección de los usuarios en entornos digitales.
La Cámara Segunda de Apelación de La Plata confirmó en las últimas horas una sentencia que condena de forma directa al Banco de la Provincia de Buenos Aires a reintegrar u$s22.500 y más de $770.000 a una clienta que fue víctima de una maniobra de fraude informático del tipo phishing.
La resolución judicial no solo exige la devolución de los ahorros sustraídos, sino que le impone a la firma el pago de una indemnización millonaria por fallas estructurales en el control de transacciones.
El fallo ratifica la sentencia de primera instancia emitida por el Juzgado en lo Civil y Comercial N.° 23 de La Plata.
Con este dictamen, la Justicia local convalida el criterio de que los bancos no pueden desentenderse de las estafas virtuales bajo el argumento de la culpa exclusiva del usuario, determinando que las corporaciones financieras son las creadoras de las plataformas de homebanking y, por ende, las principales responsables de garantizar la inmutabilidad de los fondos y la seguridad jurídica de sus clientes.
La maniobra delictiva se concretó cuando ciberdelincuentes capturaron las claves de acceso de la damnificada, una mujer de edad avanzada, mediante un engaño digital.
Posteriormente, desde una dirección IP geolocalizada en una provincia ajena a su domicilio habitual, los atacantes ingresaron al homebanking y vaciaron sus cajas de ahorro en pesos y en moneda extranjera.
La víctima detectó de inmediato el vaciamiento y avanzó con los reclamos administrativos en el servicio de atención al cliente de la entidad financiera, pero no obtuvo una solución favorable, lo que la obligó a judicializar el caso mediante una demanda por daños y perjuicios.
Durante el proceso judicial, la pericia informática resultó determinante para inclinar la balanza a favor de la consumidora.
El análisis técnico del sistema detectó severas deficiencias en las medidas de seguridad del entorno virtual del banco:
Falta de monitoreo transaccional: El sistema automatizado de la entidad no emitió ninguna alerta temprana ni bloqueó las transferencias, a pesar de que los movimientos de fondos eran completamente inusuales respecto al historial de consumo de la clienta.
Ausencia de alertas geográficas: Los algoritmos del banco no identificaron como sospechoso que el acceso a la cuenta comitente y las cajas de ahorro se estuviera realizando desde dispositivos y zonas geográficas no registradas previamente en el perfil de la usuaria.
Fallas en la verificación de identidad: La plataforma convalidó las transferencias hacia cuentas de destino desconocidas sin exigir dobles factores de autenticación biométrica o tokens de seguridad adicionales proporcionales al volumen de dinero movilizado.
La entidad financiera apeló la resolución de primera instancia argumentando de forma recurrente que el fraude se debió a una supuesta torpeza o descuido de la afectada al entregar sus datos confidenciales a terceros.
Sin embargo, la Cámara de Apelaciones rechazó de plano este descargo corporativo. Los magistrados basaron su análisis en los principios de la Ley de Defensa del Consumidor (Ley 24.240) y destacaron la condición de hipervulnerabilidad de la víctima, debido a su edad y a su escaso manejo de herramientas informáticas avanzadas.
La jueza interviniente remarcó que el banco es quien fija las reglas del juego digital y el dueño del sistema, por lo que debe asumir los riesgos de las vulnerabilidades informáticas.
En consecuencia, además de ordenar la restitución de los u$s22.500 y los pesos sustraídos con sus respectivos intereses, el tribunal confirmó una penalización adicional de $10 millones en concepto de daño moral y daño punitivo, aplicando la sanción máxima prevista por la normativa para castigar el comportamiento negligente de la empresa frente al reclamo de la clienta.
Las decisiones judiciales demuestran que la trazabilidad de los accesos y el endurecimiento de los controles de identidad no son opcionales, sino la única vía legal para evitar condenas severas en un mercado corporativo donde el delito digital continúa en ascenso.