Un banco deberá indemnizar a las víctimas de un fraude virtual, a quienes se les extrajo la suma de 40 mil dólares. Así lo dispuso un fallo de la Cámara Comercial, que responsabilizó a la entidad por "la falta de control o monitoreo transaccional, la falta de constatación de la inexistencia de IP al momento de ingreso y realización de transferencias"
Una pareja, demandó a su banco por USD 40.000 y $2.800.650 más otras sumas a determinar, tras haber sufrido la sustracción de los fondos de su caja de ahorro en dólares de titularidad conjunta, donde habían depositado el dinero de la venta de un inmueble.
El fraude se cometió por dos transferencias a cuentas desconocidas violándose la seguridad de la cuenta sin ninguna alerta u aviso.
Los actores alegaron que nunca entregaron sus usuarios o claves, ni ingresaron a su homebanking desde un dispositivo distintos, ni los extraviaron ni salieron de su poder, ni tampoco ingresaron a redes públicas, por lo cual rechazaban la torpeza indilgada por el banco que rechazó su reclamo administrativo por fraude.
“Consideraron que era la accionada quien debía demostrar que el fraude no se debió a una negligencia de sus sistemas de seguridad por consistir en una prueba negativa la que le correspondería a su parte en caso contrario” y que el banco estando familiarizado con los hackeos debió ofrecer una solución, más cuando el fraude se concretó mediante la transferencia a otra cuenta del mismo banco sin requerirse token.
El caso se caratuló “M. C. R. y otro c/ Banco BBVA Argentina S.A. s/ Sumarísimo” y en primera instancia se admitió la demanda, reconociéndose a los actores como consumidores, aplicándose las prescripciones sobre el deber de seguridad y las cargas del demandado.
También se reconoció que era una “problemática actual de suma trascendencia” y que “la afectación de grandes partes de la sociedad por las prácticas fraudulentas ha demostrado las falencias del sistema de seguridad de las entidades financieras”.
En el caso de la responsabilidad bancaria, los eximentes no podían aplicarse, pues aún en caso de un obrar negligente del consumidor no había ruptura del nexo causal si hubo un incumplimiento previo del proveedor
Se remarcó el deber de seguridad como una exigencia constante de actualización para mantener incólumes a los clientes ante la peligrosidad de las operaciones en canales electrónicos y su “apariencia de seguridad”, por lo cual aplicó responsabilidad objetiva por las fallas al sistema de seguridad, y remarcó que “en el caso de la responsabilidad bancaria, los eximentes no podían aplicarse, pues aún en caso de un obrar negligente del consumidor no había ruptura del nexo causal si hubo un incumplimiento previo del proveedor”.
La pericia del caso fue determinante dado que demostró la falta de avisos y alertas, la no asignación de IP a las transferencias, sin poder demostrarse que las operaciones se hayan efectuado con el usuario y contraseña de los actores o que se hayan firmado las transferencias con OTPS SMS al celular del cliente.
Por ello admitió íntegramente el reclamo del capital debitado (USD 40.000), y admitió $1.000.000 por daño moral, $500.000 por daño psicológico, $400.000 por incapacidad psíquica, $48.000 para hacer el tratamiento y $800.000 por daño punitivo.
La decisión fue apelada por el banco que llevó el caso a la Sala F de la Cámara Comercial, donde los jueces Alejandra N. Tevez y Ernesto Lucchelli confirmaron la sentencia con costas a la vencida.
Al tribunal le pareció llamativo que el banco no brinde información sobre los destinatarios de las transferencias “que podrían haber aportado a demostrar no sólo su diligencia debida desde el momento de abrir cuentas a clientes, sino también ante las denuncias de los actores junto con su real intención de proteger a sus clientes”.
Por ello, “su silencio aparece, a mi juicio, revelador de inconsistencias en el deber de seguridad y en la responsabilidad que como entidad financiera le caben, que no pueden ser admitidas” concluyó un magistrado.
Es que “la falta de control o monitoreo transaccional, la falta de constatación de la inexistencia de IP al momento de ingreso y realización de transferencias y las demás omisiones apuntadas ut supra, me convencen que los agravios vertidos no pueden prosperar”, lo que a su vez fue tenido en cuenta para confirmar el daño punitivo.
Finalmente, sobre el phishing, si bien el banco acusó a los actores de entregar sus claves no lograron probarlo, y “como principio el cpr 377 pone en cabeza de los litigantes el deber de probar los presupuestos que invocan como fundamento de su pretensión, defensa o excepción, y ello no depende sólo de la condición de actor o demandado, sino de la situación en que cada litigante se coloque dentro del proceso” además de que el carácter tuitivo de la LDC, agravó la carga del proveedor en su art. 53. (Fuente: Diario Judicial)
