En un fallo histórico en materia de ciberseguridad y protección al consumidor, un tribunal de Justicia de La Plata responsabilizó a un banco por la falta de medidas preventivas en un caso de estafa digital que afectó a una PyME de Chivilcoy. La sentencia, dictada por el juez Juan José De Oliveira, del Juzgado en lo Civil y Comercial Nº9 Departamental, condenó a la entidad financiera a pagar una multa de $140 millones por incumplir su deber de seguridad.
La decisión judicial establece un precedente al imponer una sanción millonaria a un banco por su inacción en la prevención de fraudes digitales. El monto se compone de 100 canastas básicas, equivalentes a $103.371.600, por deficiencias en las medidas de seguridad de sus operaciones electrónicas, además de la devolución de las sumas sustraídas de la cuenta de la PyME afectada.
El caso se remonta al 20 de marzo de 2023, cuando el socio gerente de Grupo Logística Uno, José Luis Aronna, intentó realizar una transferencia a un proveedor desde la plataforma de homebanking del BBVA. Durante la operación, la pantalla se congeló y, minutos después, la empresa descubrió que se habían realizado 18 transferencias no autorizadas por un total de $39.999.342,29, además de un préstamo fraudulento por $3.500.000. Las transferencias fueron dirigidas a cuentas desconocidas, algunas de ellas incluidas en una “lista negra” de cuentas fraudulentas mantenida por el propio banco.
Cómo ocurrió la estafa y el rol del malware
Según el fallo, la pericia informática determinó que la computadora de la empresa estaba infectada con un virus tipo malware. Este software malicioso capturó las credenciales de acceso al homebanking y permitió que los ciberdelincuentes operaran remotamente la cuenta de la PyME sin levantar sospechas.
En menos de 30 minutos, los atacantes desviaron casi $40 millones mediante 18 operaciones fraudulentas y, además, tomaron un préstamo en nombre de la empresa. La rapidez del fraude evidencia la falta de controles efectivos por parte del banco.
Los argumentos del juez: un banco sin mecanismos de control efectivos
El juez De Oliveira enmarcó el caso dentro de la Ley de Defensa del Consumidor (Ley 24.240), argumentando que el banco tenía la obligación de garantizar un sistema de seguridad robusto para sus clientes. El fallo resalta varios puntos clave que determinaron la responsabilidad de la entidad financiera.
Primero, se destacó la deficiencia en los controles de seguridad, ya que el banco no monitoreó las operaciones en tiempo real ni estableció mecanismos de prevención adecuados. Solo dos de las 18 transferencias fueron notificadas al cliente mediante el sistema “challenge”, un método reactivo y no preventivo. Además, la entidad permitió transacciones a destinatarios que figuraban en listas de cuentas fraudulentas, lo que denota una falta de supervisión sobre cuentas sospechosas.
También se mencionó la ausencia de verificación de identidad, ya que el banco no implementó mecanismos adicionales para confirmar la autenticidad del usuario antes de aprobar las operaciones. Por último, el fallo subrayó la negligencia en la respuesta al fraude, destacando que, pese a conocer los riesgos asociados a los ciberdelitos, la entidad no adoptó medidas proactivas para mitigarlos.
El juez concluyó que la entidad financiera tenía la responsabilidad de prevenir el fraude y que su inacción facilitó la estafa.
La defensa del banco y el rechazo del juez
El banco argumentó que la empresa había actuado con negligencia al no proteger su computadora con un antivirus y al facilitar sus datos a terceros. Sin embargo, el juez rechazó estos planteos y subrayó que la entidad financiera no puede trasladar su responsabilidad al cliente.
En su decisión, el magistrado enfatizó que no se probó que la víctima haya facilitado sus credenciales de manera intencional, que la entidad tiene el deber de monitorear y prevenir fraudes en sus sistemas y que la obligación del banco no es controlar los dispositivos de sus clientes, sino garantizar la seguridad de sus operaciones.
El perito informático designado en la causa determinó que la entidad financiera incumplió dos deberes fundamentales. En primer lugar, el deber de monitoreo, ya que no supervisó adecuadamente las operaciones, lo que permitió la ejecución de transferencias sospechosas. En segundo lugar, el deber de control, pues no implementó mecanismos efectivos para detectar irregularidades antes de autorizar las transacciones.
Un fallo ejemplificador y su impacto en la banca
El juez estableció una multa sin precedentes con el objetivo de incentivar a las entidades bancarias a reforzar sus políticas de ciberseguridad. “El banco ofrecía un servicio electrónico que, por su naturaleza, está expuesto a riesgos como el fraude y el malware. Por lo tanto, tenía la obligación de implementar medidas de seguridad adecuadas para prevenir estos riesgos”, sostuvo De Oliveira.
El abogado de la empresa demandante, Marcelo Szelagowski, especialista en ciberseguridad, resaltó la importancia del fallo. “Los jueces entendieron que la única manera de forzar a los bancos a realizar inversiones en ciberseguridad es a través de sanciones ejemplares. Hasta ahora, las entidades preferían pagar pequeñas indemnizaciones en juicios antes que mejorar sus sistemas. Este fallo cambia las reglas del juego”.
Un precedente alentador en la Justicia argentina
La sentencia marca un punto de inflexión en la relación entre bancos y clientes en materia de fraudes electrónicos. La decisión de multar con $140 millones a la entidad no solo busca reparar el daño causado a la PyME afectada, sino también establecer un estándar más alto en la protección de los usuarios frente a la creciente ola de ciberdelitos.
A partir de este caso, se espera que las entidades bancarias refuercen sus protocolos de seguridad y adopten medidas preventivas más estrictas para evitar que situaciones similares vuelvan a ocurrir.
