La Cámara Nacional de Apelaciones en lo Civil y Comercial Federal dispuso que una entidad bancaria pública restituya el 50% de los fondos sustraídos y pague una indemnización por daño moral a un cliente víctima de phishing.
La Cámara Nacional de Apelaciones en lo Civil y Comercial Federal ordenó a una entidad bancaria pública restituir parte de los fondos perdidos y otorgar una indemnización por daño moral a un cliente que había sido víctima de una maniobra de phishing. La sentencia revocó la decisión de primera instancia y declaró la nulidad de operaciones realizadas sin consentimiento del titular de la cuenta.
Según la resolución, el conflicto comenzó en febrero de 2021, cuando un cliente de la entidad denunció que personas desconocidas accedieron de forma ilegítima a su servicio de home banking. Los estafadores lograron obtener sus credenciales mediante engaños telefónicos, lo que permitió la conversión de todos sus ahorros en dólares a pesos argentinos y la transferencia de esos fondos a cuentas desconocidas. Además, se tomó un préstamo preaprobado a nombre del reclamante y se transfirieron importantes sumas a terceras cuentas.
De acuerdo con el expediente, la maniobra comenzó cuando la pareja del reclamante recibió un llamado telefónico de una persona que se presentó como representante de un reconocido supermercado y le comunicó que había sido seleccionada para participar de una campaña publicitaria con un premio en dinero. Tras ese primer contacto, los estafadores guiaron al cliente para que se dirigiera a un cajero automático, donde le indicaron que debía introducir un código y suministrar información personal. Bajo esta modalidad, lograron acceder a la cuenta bancaria y operar en el sistema de home banking.
El reclamante promovió una demanda en junio de 2021. Solicitó la nulidad de un préstamo personal no solicitado, la declaración de inexistencia de las operaciones realizadas sin su consentimiento, la restitución de los fondos sustraídos, una compensación por daño moral y la aplicación de daño punitivo. Fundó su reclamo en la presunta falta de cumplimiento de los deberes de seguridad, trato digno e información por parte de la entidad financiera.
La institución bancaria respondió en mayo de 2024. Planteó como defensa que el propio cliente habría facilitado el acceso a sus cuentas, argumentando que existió un “hecho de la víctima”. Además, solicitó el rechazo de la demanda.
El juzgado de primera instancia rechazó el reclamo. El magistrado consideró que la responsabilidad era objetiva, conforme a la Ley de Defensa del Consumidor, pero concluyó que el banco había cumplido con sus obligaciones de seguridad al difundir campañas de prevención y emitir advertencias en cajeros automáticos. Según esta primera valoración, la maniobra delictiva se habría consumado por la conducta del cliente, quien proporcionó datos confidenciales a los estafadores.
Ambas partes recurrieron esta decisión ante la Cámara. En el análisis, los jueces de la Sala I destacaron que el sistema de home banking, aunque ofrece ventajas, también implica riesgos considerables. Resaltaron que el banco debe asumir una responsabilidad agravada en la protección de los usuarios.
Los camaristas evaluaron pruebas periciales que revelaron inconsistencias en los controles del banco. Se detectó que, tras la activación de la clave digital en un cajero de la Ciudad de Buenos Aires, se realizaron operaciones sospechosas desde direcciones IP no habituales de otras provincias. También se advirtió que, días antes, el sistema había registrado múltiples bloqueos preventivos. A pesar de estos antecedentes, el banco permitió la realización de transferencias, la liquidación de divisas y la toma de un préstamo sin requerir medidas de seguridad adicionales.
El tribunal señaló: “El sistema de la demandada no era apto para detectar y bloquear las maniobras fraudulentas ocurridas”. La Cámara observó además que los avisos preventivos habían sido emitidos varios meses antes del hecho. El peritaje informático verificó que la notificación sobre los términos del préstamo llegó después de su acreditación.
Sobre la responsabilidad del cliente, el tribunal reconoció que la entrega voluntaria de datos personales tuvo incidencia en el resultado dañoso. Sin embargo, aclaró que la ley exige que para eximir en forma total al proveedor debe probarse la existencia de “culpa grave” del consumidor, lo que no se configuró plenamente.
En función de estos elementos, la Cámara decidió distribuir la responsabilidad en partes iguales entre el banco y el cliente. En la sentencia se dispuso la nulidad del préstamo preaprobado y de las transferencias realizadas sin consentimiento, así como la devolución del 50% de los fondos sustraídos. El tribunal también reconoció un daño moral, fijando la indemnización en un millón de pesos. La Cámara rechazó la aplicación de daño punitivo.
La sentencia estableció que el banco deberá restituir, en un plazo de diez días, la mitad de las divisas y la mitad de los pesos abonados por el préstamo no consentido, con los intereses correspondientes. La indemnización por daño moral se abonará en su totalidad. La Cámara resolvió que las costas de primera instancia se distribuyeran en el orden causado y que, en la instancia de apelación, fueran impuestas a la demandada.
