top of page

La Justicia Correntina Blinda al Consumidor y Exige Máxima Ciberseguridad a los Bancos en Casos de Ciberfraude

Este fallo es un recordatorio contundente de que en la era digital, la seguridad de los fondos y datos de los usuarios es una responsabilidad primordial de las entidades financieras, y que la justicia está atenta a proteger a los consumidores vulnerables ante las nuevas formas de delincuencia tecnológica.

 

1) Breve Resumen del Caso

El caso gira en torno a Rosana Marina Armand, quien demandó al Banco de Corrientes S.A. por una suma de $1.871.994, más intereses y costas, en concepto de daños y perjuicios derivados de una relación de consumo. La Sra. Armand relató que el 2 de julio de 2022, al ingresar a su home banking, descubrió tres transferencias no autorizadas, por un total de $93.000, a una destinataria desconocida. Su reclamo incluía daño emergente, daño no patrimonial y daño punitivo.

 

El Banco de Corrientes S.A., por su parte, argumentó que la sentencia incurría en arbitrariedad al no valorar adecuadamente la prueba y aplicar erróneamente los principios de responsabilidad civil. Sostuvo que la propia cliente había compartido sus datos de acceso con un tercero (el Sr. Alfredo Aguirre), lo que a su entender, fracturó el nexo causal y eximía a la entidad de responsabilidad. Además, impugnó los montos indemnizatorios, incluyendo el daño moral y el daño punitivo, alegando que no se había probado ninguna conducta lesiva por parte del banco ni un grave perjuicio emocional, y que la sanción punitiva era improcedente sin evidencia de dolo o negligencia grave. Incluso, el banco sugirió la hipótesis de que la maniobra fraudulenta pudo haber sido urdida por la propia actora en complicidad con su amigo.

 

2) Juzgado o Tribunal Interviniente

La demanda inicial fue presentada ante la Jueza Civil, Comercial con competencia Administrativa de Curuzú Cuatiá, quien hizo lugar a la acción en todas sus partes.

Posteriormente, la Cámara de Apelaciones en lo Civil y Comercial de Curuzú Cuatiá rechazó el recurso de apelación del banco y confirmó íntegramente la sentencia de primera instancia.

 

Finalmente, el caso llegó al Superior Tribunal de Justicia de Corrientes a través de un recurso extraordinario de inaplicabilidad de ley interpuesto por el Banco de Corrientes S.A.. El tribunal estuvo conformado por los Doctores Fernando Augusto Niz, Alejandro Alberto Chaín, Guillermo Horacio Semhan, Eduardo Gilberto Panseri, y presidido por el Dr. Luis Eduardo Rey Vázquez, asistidos por la Secretaria Jurisdiccional Dra. Marisa Esther Spagnolo.

 

3) Decisión Tomada

El Superior Tribunal de Justicia de Corrientes decidió rechazar el recurso extraordinario de inaplicabilidad de ley interpuesto por el Banco de Corrientes S.A., confirmando así la condena impuesta en las instancias anteriores.

El Tribunal fundamentó su decisión en varios puntos clave:

  • Relación de Consumo y Deber de Seguridad: Se consideró incontrovertida la existencia de una relación de consumo, lo que implicó la aplicación del régimen especial de protección de la Ley 24.240 y la responsabilidad objetiva del banco por actividad riesgosa. El banco no pudo eludir su deber de seguridad ni acreditar una causal eximente.

  • Falla del Banco y Ausencia de Culpa de la Víctima: La entidad bancaria no aportó prueba que demostrara interrupción del nexo causal o culpa de la víctima. Por el contrario, se reconoció una maniobra de ingeniería social (phishing) mediante App Mobile, pero se determinó que la actora nunca usó esa aplicación, sino el home banking desde una computadora fija. La pericia informática confirmó la manipulación externa de los datos de usuario y contraseña sin que se implementara un sistema de doble validación adecuado.

  • Deber Reforzado del Banco: Se enfatizó que la obligación de seguridad en servicios bancarios digitales implica un deber reforzado para las entidades financieras, debido a la naturaleza riesgosa de su actividad y la complejidad de los sistemas informáticos. La pericia informática fue determinante para acreditar que las operaciones denunciadas se enmarcaban en una ciberestafa, evidenciando fallas de seguridad del banco.

  • Irrelevancia del "Compartir Datos": La alegación del banco de que la Sra. Armand compartió datos con un tercero (Alfredo Aguirre) no fue jurídicamente sostenible, considerándose un argumento falaz que desconoce los principios del derecho del consumidor. Se sostuvo que la carga de la prueba recae sobre el banco para demostrar su debida diligencia. La confianza de la actora en un tercero de su entorno no exime al banco de su obligación de garantizar la seguridad de las operaciones y prevenir fraudes electrónicos, especialmente cuando la trazabilidad técnica está bajo su exclusivo control.

  • Montos Indemnizatorios y Daño Punitivo: La condena al pago de daño moral y daño punitivo fue ratificada. Se consideró que la Sra. Armand padeció más que meras molestias, sufriendo frustración, ansiedad y gestiones infructuosas, lo que configura un daño moral indemnizable. El monto fijado se consideró prudente y proporcionado. El daño punitivo se justificó por la conducta reprochable y "reiteradamente negligente y desinteresada" del banco, que ignoró reclamos, atribuyó el hecho a la víctima sin pruebas, y no actuó para remediar el fraude.

 

4) Temática Novedosa en Relación a la Tecnología

Este fallo subraya varios aspectos de vanguardia en la intersección del derecho y la tecnología:

  • La Carga de la Prueba en Ciberfraudes: El tribunal reafirma la inversión de la carga de la prueba en las relaciones de consumo, obligando al banco a demostrar que no hubo negligencia de su parte, incluso cuando la víctima haya confiado en un tercero. Esto es crucial en el contexto de ciberataques, donde la información técnica suele estar en poder de la entidad.

  • El "Deber de Seguridad Agravado" en Bancos Digitales: La sentencia consolida la noción de un "deber de seguridad objetivo y agravado" para las entidades financieras que operan en el entorno digital. El home banking es calificado como una "actividad riesgosa" que exige mecanismos como la doble autenticación, monitoreo de patrones inusuales y control de dispositivos de acceso. La omisión del banco en detectar y bloquear operaciones desde un dispositivo no habitual (un iPhone no vinculado a la actora) fue clave.

  • La Validez de la Pericia Informática: La prueba pericial informática fue considerada "determinante" y "no impugnada" por las partes, lo que demuestra la creciente importancia de la evidencia digital en los litigios de ciberseguridad.

  • La "Ingeniería Social" como Riesgo Bancario: El reconocimiento explícito de la "maniobra de ingeniería social (phishing)" como causa del daño y la responsabilidad del banco, incluso si implica cierto grado de engaño a la víctima, establece un claro estándar de que la prevención de estos fraudes recae principalmente en la entidad.

 

5) Tres Preguntas a Modo de Reflexión

1. ¿Cómo pueden las entidades financieras fortalecer aún más sus sistemas de detección temprana y respuesta ante ciberfraudes para cumplir con este "deber de seguridad agravado", considerando que las amenazas tecnológicas evolucionan constantemente?

2. Dado que el fallo enfatiza la responsabilidad objetiva del banco, ¿cuál es el equilibrio adecuado entre la protección al consumidor y la posible negligencia del usuario en el manejo de sus credenciales, y cómo podría la educación digital contribuir a mitigar estos riesgos sin transferir la responsabilidad principal al cliente?

3. Considerando la trascendencia del daño punitivo en este caso, ¿qué cambios normativos o buenas prácticas podrían implementarse para incentivar a los bancos a adoptar una actitud más proactiva y diligente en la atención de reclamos por ciberfraudes, evitando la revictimización y la judicialización prolongada?


Boletin Legaltech fallo X Armand phishing

Acceder al fallo en Diariojudicial aquí


Nota: Contenido generado utilizando NotebookLM

Comentarios

bottom of page