Análisis jurisprudencial novedoso: prescripción de daños por fraude digital en homebanking

En la intersección del Derecho Comercial y las nuevas tecnologías, los tribunales argentinos continúan delineando la responsabilidad de las entidades financieras frente a los ciberdelitos. El reciente fallo de la Cámara Nacional de Apelaciones en lo Comercial, Sala F, en el caso “Vázquez contra Banco de Galicia y Buenos Aires S.A.”, aborda la espinosa cuestión de la prescripción de las acciones civiles derivadas de fraudes cometidos mediante el uso indebido de plataformas de homebanking, un tema de profunda relevancia en el contexto del deber de seguridad bancario digital.

1) Breve Resumen del Caso

El caso se originó a partir de una demanda por daños y perjuicios iniciada por Néstor Martín Vázquez, dueño del comercio "Asia Computación", contra el Banco de Galicia y Buenos Aires S.A.. En mayo de 2016, Vázquez realizó una venta de equipos celulares, recibiendo el pago a través de transferencias bancarias. Poco después, su cuenta fue bloqueada. El actor fue informado de que había ocurrido un fraude: se habían realizado transferencias fraudulentas de las cuentas de nueve clientes del Banco a la suya, y la entidad procedió a retener el dinero depositado, cerrar su cuenta y devolver las sumas a los damnificados originales. Vázquez alegó que el Banco incumplió su deber de prevención y seguridad al no haber detectado o prevenido a tiempo la operatoria fraudulenta, que incluía diez operaciones realizadas en un lapso breve y con direcciones IP que resultaron ser de Bulgaria y Sudáfrica. El Banco, por su parte, argumentó que sus clientes fueron víctimas de Phishing y entregaron sus datos voluntariamente, por lo que la causa eficiente del daño fue la maniobra urdida por terceros, no la acción de la entidad. Inicialmente, Vázquez fue incluso imputado en una causa penal por estafa, siendo sobreseído recién en 2019.

2) Juzgado o Tribunal Interviniente

La resolución que analizamos proviene de la CÁMARA COMERCIAL - SALA F de la Ciudad de Buenos Aires. Los Señores Jueces de Cámara intervinientes fueron la Dra. Alejandra N. Tevez y el Dr. Ernesto Lucchelli. La fecha de la decisión es el 1 de diciembre de 2025.

3) Decisión Tomada

La sentencia de primera instancia, de fecha 1.4.2025, había hecho lugar a la excepción de prescripción planteada por el Banco y rechazado la demanda de Vázquez. Al apelar, el actor cuestionó el cómputo del plazo de prescripción, sosteniendo que este debía comenzar cuando se dictó su sobreseimiento en la causa penal, argumentando que antes de esa fecha no existía certidumbre de su legítimo derecho a reclamar.

La Cámara Comercial - Sala F rechazó el recurso del actor y confirmó la sentencia de grado in totum, imponiéndole las costas de la instancia. El tribunal ratificó que el cómputo del plazo de tres años previsto por el art. 2561 del CCyCN debía iniciarse desde la fecha en que al actor le fue bloqueada la cuenta y retenidos los fondos (9.5.2016 o, a lo sumo, julio de 2016), momento en el que tomó conocimiento del obrar antijurídico que imputó al Banco: el incumplimiento del deber de prevención y seguridad. La Cámara concluyó que el hecho investigado en sede penal no interfería con el reproche que el actor endilgaba al Banco (incumplimiento contractual y daños y perjuicios), por lo que la decisión penal definitiva no constituía un requisito previo razonable para la promoción de la demanda civil.

4) Temática Novedosa en Relación a la Tecnología

La temática central y novedosa de este fallo radica en la delimitación de la responsabilidad bancaria por fallas de seguridad en el servicio de homebanking y el cómputo de la prescripción en acciones de daños derivadas de ciberdelitos.

El caso ilustra la sofisticación de las maniobras de Phishing, donde los ciberdelincuentes logran obtener credenciales de clientes bancarios al simular ser la entidad financiera. La discusión se centró en si el Banco incumplió con su "deber de prevención" al no haber detectado a tiempo la operatoria fraudulenta, que involucró el uso indebido del homebanking y transferencias realizadas desde direcciones IP foráneas (Bulgaria y Sudáfrica).

Desde la perspectiva procesal, el aspecto más relevante es la confirmación de que la acción civil basada en el incumplimiento del deber de seguridad digital del Banco no queda supeditada a la resolución de una causa penal posterior iniciada contra el actor (tercero supuestamente beneficiado por el fraude). El tribunal subrayó que, al haber eliminado el Código Civil y Comercial Unificado el artículo 3982 bis (que preveía la suspensión por querella criminal), y dado que la acción se basaba en el incumplimiento contractual del Banco, el derecho a demandar se expidió desde el momento en que ocurrió el hecho dañoso (el bloqueo de la cuenta y la retención de fondos), y no desde el sobreseimiento penal.

5) Tres Preguntas a Modo de Reflexión

1. Deber de Seguridad vs. Negligencia del Usuario: Cuando una transferencia fraudulenta se realiza utilizando credenciales obtenidas mediante Phishing, ¿dónde debe recaer el peso de la responsabilidad—en la falta de sistemas de prevención bancarios capaces de detectar patrones anómalos (como transacciones múltiples desde IPs extranjeras) o en la negligencia del cliente al suministrar sus datos?.

2. Prescripción y Ciberdelito Complejo: Considerando la naturaleza instantánea del daño patrimonial en el homebanking (el bloqueo de fondos) y la complejidad de los procesos penales por ciberdelitos, ¿es suficiente el plazo de tres años para que un damnificado, que inicialmente es investigado penalmente, pueda preparar y deducir una demanda civil efectiva por el incumplimiento del deber de seguridad del banco, sin que la acción prescriba?.

3. El Dies a Quo en la Era Digital: ¿Podría argumentarse que en casos de fraude digital, el plazo de exigibilidad para la reparación plena (el dies a quo del plazo de prescripción) debería postergarse hasta que se resuelva la investigación sobre la autoría del fraude, especialmente si la víctima necesita la prueba recabada en sede penal para fundamentar el reclamo de la falla de seguridad bancaria?.

Acceder al fallo en Diariojudicial aquí

Nota: Contenido generado utilizando NotebookLM