ACTUALIDAD ciberestafa > banco > Seguridad

INÉDITO

Condenan a un banco por la ciberestafa que sufrió un cliente

El Bapro fue condenado a pagar una multa y devolver dinero en una causa iniciada por un cliente víctima de una ciberestafa. El fallo podría sentar precedente.

En un fallo que podría sentar precedente y cambiar las políticas y responsabilidades de los bancos ante una ciberestafa, se produjo la primera sentencia que declaró la nulidad de un crédito tomado por los delincuentes y se multó a la entidad bancaria denunciada.

Precedente judicial

La jueza María Cecilia Tanco, titular del Juzgado Civil y Comercial Nro. 19 de La Plata, dictó este lunes 14/2 una sentencia en la que condena al Banco de la Provincia de Buenos Aires (Bapro) al pago de una multa de $ 600.000, a la devolución del monto de adelanto de haberes de $ 22.500 tomado por los estafadores y declaró la nulidad del crédito de $ 650.000 que éstos lograron apropiarse.

El fallo es el primero en esta materia que se realiza en el Departamento Judicial La Plata, y no se conoce que haya otro similar en el país, por lo que se convierte en precedente judicial y se lo podría considerar como “ejemplar”.

ciberdelito.jpg
El Bapro deberá pagar una multa, devolver dinero y anular un crédito solicitado a raíz de una ciberestafa a un usuario que demandó a la entidad bancaria.

El Bapro deberá pagar una multa, devolver dinero y anular un crédito solicitado a raíz de una ciberestafa a un usuario que demandó a la entidad bancaria.

¿Cambia la responsabilidad en la ciberestafa?

Con el fallo de Tanco se empezaría a resolver la cuestión de fondo sobre las responsabilidades bancarias ante una ciberestafa, en este caso con la sentencia dictada en la causa “Suarez Daniel Ricardo C/ Banco de la Provincia de Buenos Aires S/ Nulidad de Contrato”.

Se trata de un jubilado de 68 años víctima de “phishing”, al que le habían tomado créditos en su nombre y un adelanto de sueldo que el Banco de la Provincia pretendió cobrárselo.

Cabe recordar que el phishing es un método para inducir a una persona, mediante engaños, a compartir sus contraseñas y otros datos financieros confidenciales haciéndose pasar por una institución de confianza en un mensaje de correo electrónico o llamada telefónica.

Una vez que los ciberdelincuentes adquieren las claves y usuarios de sus víctimas, ingresan a sus cuentas bancarias donde suelen retirar dinero o tomar créditos a nombre de su titular.

El Bapro “no cumple con las medidas de seguridad”

El asesor letrado de Suarez, el abogado Marcelo Szelagowski, subrayó que la magistrada Tanco “dio un ejemplo de lo que espera la sociedad de parte de la Justicia, máxime en tiempos como los que corren en que se cuestiona a los Jueces duramente.”

Y fundamentó sus dichos: “En este caso en particular, la Sra. Jueza no solo declaró la nulidad del crédito que había sido tomado por los estafadores, sino que tuvo una valiente y compleja decisión de no solo tener por acreditados los hechos, sino tramitar un proceso rápido como marca la Ley de defensa del Consumidor y por sobre todo fijar una sanción ejemplificadora a causa del maltrato sufrido por al actor como por otras víctimas de “phishing”, en un ítem punitivo donde los jueces habían sido muy variables y tímidos en la imposición de sanciones ”.

En los considerandos de su fallo, la Dra. Tanco subraya las conclusiones del perito informático en cuanto a que el Banco de la Provincia no cumple con las medidas de seguridad; exigidas por el BCRA, al resaltar: “…el perito pudo establecer una correspondencia entre las personas titulares de las cuentas de transferencia (destino) y las operaciones realizadas y registradas en el log de transacciones. Se pudo observar que existían tanto personas como direcciones IP que correspondían a la provincia de Córdoba, jurisdicción ajena a la demandada…”.

Y más adelante agrega: “…el perito informático dictaminó que la demandada, si bien cumple con las medidas de concientización, capacitación, a integridad y registro y gestión de incidentes, no cumple el monitoreo y control. Este último es un proceso relacionado con la recolección, análisis y control de eventos ante fallas, indisponibilidad, intrusiones y otras situaciones que afecten los servicios ofrecidos por los canales electrónicos, y que puedan generar un daño eventual sobre la infraestructura y la información. Pudo determinar que surgían del log de transacciones operaciones en las que se involucraban montos importantes que no recibieron el tratamiento que correspondía por su carácter de sospechosas o potencialmente fraudulentas”.

Continuó señalando que “tampoco cumple con el control de acceso, el cual es un proceso relacionado con la evaluación, desarrollo e implementación de medidas de seguridad para la protección de la identidad, mecanismos de autenticación, segregación de roles y funciones y demás características del acceso de los usuarios internos y externos a los canales electrónicos”.

Antecedentes legales

El Informático Correa mencionado por la juez hizo mención a la comunicación A 7319 del BCRA del 1/7/2021 que estableció la obligatoriedad de mecanismos que se encontraban implementados desde hacía varios años en los canales electrónicos de otras entidades financieras y bancarias, pero que la demandada aún no había establecido a la fecha los hechos.

Se regula allí la obligación que tienen las entidades financieras de verificar fehacientemente la identidad de las personas que solicitan la acreditación de créditos preaprobados a través de canales electrónicos y esa verificación deberá hacerse mediante técnicas de identificación positiva, lo que refuerza la obligación que ya tiene la entidad financiera de detectar la posibilidad de engaños de ingeniería social.

“Es esperable que una entidad bancaria de la envergadura de la demandada adopte una conducta en la cual pondere los riesgos previsibles, con el objeto de proteger a los usuarios, agregó.

Decisiva situación de vulnerabilidad

Por otra parte, la jueza prestó especial atención en que el actor es un cliente “hipervulnerable” y el cual “había sido víctima de maltrato por parte de la entidad al que ni siquiera habían respondido su reclamo en término, por lo que sentenció: “…La comunicación A 6664 del 5/4/2019, reguló especialmente el trato digno (2.6) y la obligación de brindar respuesta y resolución dentro de un plazo de 10 días hábiles de los reclamos que, relacionados con los servicios que ofrecen y/o prestan, les planteen los usuarios de los servicios financieros. Nada se incorporó a este proceso en oportunidad de contestar demanda que permita establecer cuál fue la respuesta ante la nota presentada por el actor (art. 354 del C.P.C.C.)”.

Por lo que definió que “…la causa es la falta de seguridad en el sistema que el banco demandado puso a disposición del accionante. Entonces el hecho o culpa de la víctima -invocada por el banco- no reúne los requisitos para eximir de responsabilidad en cuanto no se trata de un hecho exterior ajeno a la actividad -a sus riesgos intrínsecos- y especialmente a la obligación de seguridad en cabeza del demandado…”.

La falta de respuesta en tiempo de la entidad bancaria y el maltrato que sufriera por parte de la entidad, determinaron que no solo se anulara el préstamo, sino que la jueza condenara al Banco demandado a la devolución del adelanto de sueldo y al pago de una multa de $ 600.000.

Situación actual

Hasta el momento, en el caso de una ciberestafa los bancos suelen tomar distancia del hecho aduciendo que son situaciones ajenas a la entidad, dando cuenta que el mismo se circunscribe en un ilícito entre terceros: la víctima (el cliente del Banco) y el ciberdelincuente.

Sin embargo, los bancos deben cumplir ciertos requisitos de seguridad que están regulados y en los últimos tiempos se ha cuestionado su rol ante estos hechos delictivos producto de sus vulnerabilidades.

Es por eso que el 1 de julio del 2020 el Banco Central de la República Argentina (BCRA), publicó en su sitio web la obligatoriedad que le exige a las entidades financieras de verificar fehacientemente la identidad de las personas que solicitan la acreditación de créditos preaprobados a través de los canales electrónicos a fin de reforzar las normas de seguridad.

Dejá tu comentario