top of page

Acceso remoto y banca digital: La responsabilidad compartida en las estafas de "TeamViewer"

El avance de la digitalización bancaria ha traído consigo una sofisticación proporcional en las técnicas de ciberdelito. Un reciente fallo de la Cámara Comercial analiza la tensión entre la negligencia del usuario que facilita el acceso a su dispositivo y la responsabilidad objetiva de los bancos como expertos profesionales, estableciendo un importante precedente sobre la "culpa concurrente" en entornos de phishing.


1) Breve Resumen del Caso

El Sr. Pablo Marcelo Cilurzo, cliente del Banco Ciudad, intentó contactar al servicio técnico de Visa tras buscar un número de atención en Google. Encontró un contacto de WhatsApp que aparentaba ser un chatbot oficial, el cual lo derivó a un supuesto operador. Bajo el pretexto de brindarle soporte, el estafador le solicitó descargar la aplicación "TeamViewer Quicksupport", herramienta que permite el control remoto de dispositivos. Al cumplir con las instrucciones, el delincuente tomó control del teléfono del actor y realizó nueve transferencias a terceros desconocidos por un total de $1.980.040 en un lapso de una hora y media. El banco solo envió alertas de seguridad por correo electrónico tres horas después de consumados los hechos.


2) Juzgado o Tribunal Interviniente

La resolución fue dictada por la Sala D de la Cámara Nacional de Apelaciones en lo Comercial, con el voto principal del Dr. Ernesto Lucchelli y la adhesión parcial (con disidencias en la distribución de responsabilidad) del Dr. Eduardo R. Machin.


3) Decisión Tomada

El tribunal resolvió hacer lugar parcialmente al recurso del banco y modificar la sentencia de primera instancia. Los puntos principales fueron:

  • Determinación de responsabilidad concurrente: se atribuyó un 20% de la culpa al actor por su descuido negligente al facilitar el acceso remoto y un 80% al banco por sus omisiones de seguridad.

  • Restitución dineraria: se redujo el monto de condena a $1.584.032 (equivalente al 80% de lo sustraído).

  • Daño moral: se confirmó la indemnización de $800.000 debido a la "tribulación espiritual" sufrida por el cliente ante el vaciamiento de su cuenta.

  • Daño punitivo: fue rechazado, al considerar que no hubo dolo ni una "particular indiferencia antijurídica" por parte de la entidad.

  • Intereses: se dispuso su capitalización por única vez a la fecha de notificación de la demanda.


4) Temática Novedosa en Relación a la Tecnología

El fallo profundiza en el estándar de seguridad exigible a las entidades financieras frente a nuevas modalidades de ciberdelito:

  • Interpretación de la Comunicación "A" 6017 del BCRA: el tribunal destacó que los bancos deben contar con mecanismos de monitoreo transaccional que operen basados en perfiles y patrones del cliente. En este caso, la adhesión súbita de 11 destinatarios y 9 transferencias en menos de dos horas debió disparar acciones preventivas inmediatas, dado que el actor no tenía historial de transferencias en el último año.

  • Inobservancia del "Acceso Fácil y Expeditivo": se reprochó a la entidad que, ante la desesperación del usuario por bloquear su cuenta, este se encontrara con filtros de conmutadores y largas esperas en el call center en lugar de una asistencia humana eficaz que hubiera mitigado el daño.

  • Riesgo del Software de Control Remoto: el fallo analiza técnicamente aplicaciones como TeamViewer, advirtiendo que su uso facilita el phishing de "ingeniería social", donde el delincuente no vulnera el sistema central del banco, sino que suplanta al usuario con su anuencia involuntaria.


5) Tres Preguntas a Modo de Reflexión

  1. ¿Es suficiente que un banco envíe alertas por mail horas después de un robo, o debería la normativa exigir el bloqueo automático de cuentas ante patrones transaccionales drásticamente inusuales?

  2. En una relación de consumo, ¿hasta qué punto el "descuido negligente" de un usuario frente a un engaño sofisticado puede eximir a un "profesional experto" que no detecta anomalías en sus sistemas?

  3. Ante la prevalencia de estafas que utilizan herramientas de acceso remoto, ¿deberían las aplicaciones bancarias detectar y bloquear su funcionamiento si se detecta una sesión de control remoto activa?


Boletin fallo Cilurzo



Acceder al fallo en Diariojudicial aquí


Nota: Contenido generado utilizando NotebookLM

Comentarios

bottom of page