Monitoreo inteligente o pasividad digital: El deber de los bancos ante patrones de fraude inusuales
- Prosecretaría de Políticas Digitales FCJyS-UNLP
- 28 jun
- 3 min de lectura
En un escenario de creciente sofisticación de las estafas virtuales, la justicia argentina continúa redefiniendo el estándar de diligencia exigible a las entidades financieras. Un reciente fallo de la Cámara Comercial analiza si la entrega voluntaria de claves por parte de un usuario —producto de un engaño— exime de responsabilidad al banco cuando sus sistemas fallan en detectar una actividad transaccional evidentemente anómala.
1) Breve Resumen del Caso
La Sra. Mayra Analía Barreto fue víctima de una maniobra de phishing tras un engaño telefónico relacionado con una supuesta suscripción de servicios. Creyendo que realizaba una gestión para un reintegro, la usuaria proporcionó su nombre de usuario, contraseña y un código de activación enviado por correo electrónico a un tercero. Con estas credenciales, los delincuentes activaron un dispositivo de seguridad digital y realizaron cinco transferencias sucesivas en un lapso de apenas 21 minutos, por un total de $1.464.000, dirigidas a destinatarios desconocidos. La demanda fue rechazada en primera instancia al considerarse que la culpa fue exclusivamente de la víctima por revelar sus claves.
2) Juzgado o Tribunal Interviniente
La resolución definitiva fue dictada por la Cámara Nacional de Apelaciones en lo Comercial, Sala C, con el voto preopinante de la Dra. Matilde E. Ballerini y la adhesión de los Dres. Alejandra N. Tevez y Eduardo R. Machin (estos últimos con disidencias parciales sobre el cómputo de intereses).
3) Decisión Tomada
El tribunal resolvió revocar la sentencia de primera instancia y hacer lugar a la demanda, condenando al HSBC Bank Argentina S.A. a abonar:
$1.464.000 en concepto de daño material (restitución de los fondos sustraídos).
$780.000 en concepto de daño moral.
Intereses calculados a la tasa activa del Banco Nación hasta enero de 2026 y, posteriormente, la Tasa de Intereses Moratorios (TIM) del BCRA.
La Cámara determinó que, si bien la usuaria facilitó las claves, el banco incumplió su deber de seguridad al no detectar ni bloquear una actividad inusual: las operaciones se realizaron desde IPs localizadas en Córdoba y Estados Unidos (siendo que la actora reside en Buenos Aires) y con una frecuencia (cada 5 minutos) que debió disparar alertas preventivas. Además, se valoró un informe del BCRA que, un mes antes del hecho, ya advertía sobre debilidades en la seguridad informática de la entidad.
4) Temática Novedosa en Relación a la Tecnología
El fallo profundiza en conceptos críticos para el derecho tecnológico y la ciberseguridad bancaria:
Plataformas como "Entornos Riesgosos": Se ratifica que el homebanking es un servicio que conlleva riesgos inherentes, lo que atrae una responsabilidad objetiva de la entidad como "creadora y administradora" del sistema.
Insuficiencia del "Factor Humano" como Eximente: El tribunal establece que la negligencia del usuario no rompe el nexo causal si el sistema técnico del banco permite operaciones que se apartan drásticamente del perfil del cliente (geografía de la IP y velocidad de las transacciones).
Carga Probatoria del Deber de Información: Se determinó que no basta con publicar advertencias en una página web. El banco debe acreditar que las recomendaciones de seguridad efectivamente llegaron al conocimiento del usuario (por ejemplo, mediante correos electrónicos verificables), algo que la pericia informática no pudo constatar en este caso.
5) Tres Preguntas a Modo de Reflexión
¿Es razonable que el sistema judicial exija a los bancos un monitoreo por IA capaz de bloquear transferencias en tiempo real cuando la geolocalización de la IP no coincide con el perfil del usuario?
Ante la masividad del phishing, ¿debería el "consentimiento" del usuario para una operación ser considerado inválido por defecto si es inducido mediante ingeniería social en un entorno digital que el banco debe proteger?
¿Cómo impacta en la seguridad jurídica de las entidades financieras el hecho de que informes de auditoría del BCRA sobre "debilidades sistémicas" sean utilizados como prueba directa de responsabilidad en casos particulares de fraude?

Acceder al fallo en Diariojudicial aquí
Nota: Contenido generado utilizando NotebookLM



Comentarios