La Cámara Nacional de Apelaciones en lo Civil y Comercial Federal dictaminó que una entidad bancaria debe restituir el 50% de los fondos sustraídos a un cliente víctima de phishing, además de indemnizarlo por daño moral.
La Cámara Nacional de Apelaciones en lo Civil y Comercial Federal ordenó a una entidad bancaria pública restituir parte de los fondos perdidos y otorgar una indemnización por daño moral a un cliente víctima de una maniobra de phishing. La sentencia revocó la decisión de primera instancia y declaró la nulidad de operaciones realizadas sin consentimiento del titular de la cuenta.
Según la resolución, el conflicto comenzó en febrero de 2021, cuando un cliente denunció que personas desconocidas accedieron ilegítimamente a su servicio de home banking. Los estafadores obtuvieron sus credenciales mediante engaños telefónicos, lo que permitió la conversión de todos sus ahorros en dólares a pesos argentinos y la transferencia de esos fondos a cuentas desconocidas. Además, se tomó un préstamo preaprobado a nombre del reclamante y se transfirieron sumas a terceras cuentas, sin advertencia ni control suficiente por parte del banco.
La maniobra comenzó cuando la pareja del reclamante recibió un llamado telefónico de una persona que se presentó como representante de un supermercado y le comunicó que había sido seleccionada para una campaña publicitaria con un premio en dinero. Tras ese contacto y otros llamados, los estafadores guiaron al cliente a un cajero automático, donde le indicaron que debía introducir un código y suministrar información personal y de su pareja. Así accedieron a la cuenta bancaria, activaron una clave digital y obtuvieron los datos para operar en el home banking, facilitando las transacciones fraudulentas.
El reclamante promovió una demanda en junio de 2021. Solicitó la nulidad de un préstamo personal no solicitado, la declaración de inexistencia de las operaciones sin su consentimiento, la restitución de los fondos sustraídos, una compensación por daño moral y la aplicación de daño punitivo. Fundó su reclamo en la falta de cumplimiento de los deberes de seguridad e información por parte de la entidad financiera.
La institución bancaria respondió en mayo de 2024. Planteó como defensa que el cliente habría facilitado el acceso a sus cuentas, argumentando un “hecho de la víctima”, y solicitó el rechazo de la demanda.
El juzgado de primera instancia rechazó el reclamo. Consideró que el banco había cumplido con sus obligaciones de seguridad al difundir campañas de prevención y advertencias en cajeros automáticos, y que la maniobra se consumó por la conducta del cliente al proporcionar datos confidenciales.
Ambas partes recurrieron la decisión ante la Cámara. El cliente cuestionó que el fallo omitió analizar el incumplimiento de deberes de seguridad e información, la inobservancia de normativas del Banco Central y la deficiencia de los sistemas de monitoreo. La entidad impugnó la distribución de costas judiciales.
En el análisis, los jueces de la Sala I destacaron que el sistema de home banking implica riesgos y que el banco debe asumir una responsabilidad agravada en la protección de los usuarios. Evaluaron pruebas periciales que revelaron inconsistencias en los controles: tras la activación de la clave digital en un cajero de la Ciudad de Buenos Aires, se realizaron operaciones sospechosas desde direcciones IP no habituales de otras provincias. Días antes, el sistema había registrado múltiples bloqueos preventivos por intento de fraude en cuentas vinculadas al cliente. A pesar de estos antecedentes, el banco permitió transferencias y la toma de un préstamo sin medidas de seguridad adicionales.
La Cámara señaló: “El sistema de la demandada no era apto para detectar y bloquear las maniobras fraudulentas ocurridas”. Observó que los avisos preventivos habían sido emitidos varios meses antes del hecho, perdiendo efectividad durante la pandemia. El peritaje informático verificó que la notificación del préstamo llegó después de su acreditación, impidiendo una reacción oportuna.
Sobre la responsabilidad del cliente, el tribunal reconoció que la entrega voluntaria de datos tuvo incidencia, pero aclaró que la ley exige “culpa grave” del consumidor para eximir totalmente al proveedor, lo que no se configuró plenamente.
En función de estos elementos, la Cámara distribuyó la responsabilidad en partes iguales entre el banco y el cliente. Dispuso la nulidad del préstamo preaprobado y de las transferencias sin consentimiento, y la devolución del 50% de los fondos sustraídos. También reconoció un daño moral de un millón de pesos, que deberá ser abonado por la entidad. Rechazó la aplicación de daño punitivo, al considerar que las medidas de seguridad estaban implementadas aunque resultaron insuficientes.
La sentencia estableció que el banco deberá restituir, en un plazo de diez días, la mitad de las divisas y la mitad de los pesos abonados por el préstamo no consentido, con intereses. La indemnización por daño moral se abonará en su totalidad. Las costas de primera instancia se distribuyeron en el orden causado y las de apelación se impusieron a la demandada.