La jueza María Cecilia Tanco, titular del Juzgado Civil y Comercial N° 19 de La Plata, condenó al Banco Provincia al pago de una multa de 600.000 pesos por un caso de phishing contra el jubilado y cliente de la entidad Daniel Ricardo Suarez.
Además, la magistrada condenó a la entidad bancaria a la devolución del monto de adelanto de haberes de 22.500 pesos que fuera tomado por un grupo de personas que utilizaron la técnica de «phishing» para estafar a un jubilado de 68 años pidiendo un crédito de 650.000 pesos en su nombre y cobrando un adelanto de su jubilación. También se declaró la nulidad de este último.
Argumentos del fallo
Entre los argumentos del fallo, Tanco subrayó las conclusiones del perito informático en cuanto a que el Banco Provincia no cumplió con las medidas de seguridad exigidas por el Banco Central de la República Argentina (BCRA) al resaltar que «se pudo establecer una correspondencia entre las personas titulares de las cuentas de transferencia (destino) y las operaciones realizadas y registradas en el log de transacciones» y «se pudo observar que existían tanto personas como direcciones IP que correspondían a la provincia de Córdoba, jurisdicción ajena a la parte demandada«.
«El perito informático dictaminó que si bien la demandada cumple con las medidas de concientización, capacitación, integridad, registro y gestión de incidentes no cumple el monitoreo y control. Este último es un proceso relacionado con la recolección, análisis y control de eventos ante fallas, indisponibilidad, intrusiones y otras situaciones que afecten los servicios ofrecidos por los canales electrónicos y que puedan generar un daño eventual sobre la infraestructura y la información», agregó la magistrada.
«Se pudo determinar que surgían del log de transacciones operaciones en las que se involucraban montos importantes que no recibieron el tratamiento que correspondía por su carácter de sospechosas o potencialmente fraudulentas», especificó la jueza.
Además, Tanco manifestó que tampoco se cumplió «con el control de acceso, el cual es un proceso relacionado con la evaluación, desarrollo e implementación de medidas de seguridad para la protección de la identidad, mecanismos de autenticación, segregación de roles y funciones, y demás características del acceso de los usuarios internos y externos a los canales electrónicos».
Las comunicaciones del Banco Central
Por otro lado, en el fallo se mencionó la comunicación A 7319 del BCRA del 1/7/2021, que estableció la obligatoriedad de mecanismos de seguridad y se encontraban implementados «desde hacía varios años en los canales electrónicos de otras entidades financieras y bancarias pero que el Banco Provincia aún no había establecido a la fecha de los hechos».
«Se regula allí la obligación que tienen las entidades financieras de verificar fehacientemente la identidad de las personas que solicitan la acreditación de créditos preaprobados a través de canales electrónicos y esa verificación deberá hacerse mediante técnicas de identificación positiva, lo que refuerza la obligación que ya tiene la entidad financiera de detectar la posibilidad de engaños de ingeniería social», agregó la jueza.
«Es esperable que una entidad bancaria de la envergadura de la demandada adopte una conducta en la cual pondere los riesgos previsibles con el objeto de proteger a los usuarios», dictaminó la magistrada, que prestó especial atención en que el actor es un cliente «hipervulnerable» y el cual «había sido víctima de maltrato por parte de la entidad al que ni siquiera habían respondido su reclamo en término.
«La comunicación A 6664 del 5/4/2019 reguló especialmente el trato digno y la obligación de brindar respuesta y resolución dentro de un plazo de diez días hábiles de los reclamos que, relacionados con los servicios que ofrecen y/o prestan, les planteen los usuarios de los servicios financieros. Nada se incorporó a este proceso en oportunidad de contestar demanda que permita establecer cuál fue la respuesta ante la nota presentada por el actor», sentenció la magistrada, y agregó que «la causa es la falta de seguridad en el sistema que el banco demandado puso a disposición del accionante».
Por último, Tanco sostuvo que «el hecho o culpa de la víctima -invocada por el banco- no reúne los requisitos para eximir de responsabilidad en cuanto no se trata de un hecho exterior ajeno a la actividad -a sus riesgos intrínsecos- y especialmente a la obligación de seguridad en cabeza del demandado».
Sanción ejemplificadora
El abogado del reclamante, Marcelo Szelagowski, subrayó que la magistrada Tanco «dio un ejemplo de lo que espera la sociedad de parte de la Justicia, máxime en tiempos como los que corren en que se cuestiona a los jueces duramente.»
«En este caso en particular, la jueza no solo declaró la nulidad del crédito que había sido tomado por los estafadores sino que tuvo una valiente y compleja decisión de no solo tener por acreditados los hechos sino tramitar un proceso rápido como marca la Ley de defensa del Consumidor y por sobre todo fijar una sanción ejemplificadora a causa del maltrato sufrido por al actor como por otras víctimas de «phishing», en un ítem punitivo donde los jueces habían sido muy variables y tímidos en la imposición de sanciones», aseguró el abogado.