En la actualidad, la responsabilidad de las entidades bancarias ante situaciones de ciberestafas es una problemática que suscita grandes discusiones. Esto sucede en un contexto en el que se fomenta el uso de aplicaciones digitales para la operación de las cuentas bancarias, al igual que se promueve la utilización de redes sociales como medios de comunicación incluso con los clientes, en el marco de una clara relación de consumo.

Debido a los avances tecnológicos y la implementación de nuevas canales de interacción con los usuarios, los ciberdelitos han crecido notablemente[1]. Gran parte de las estafas electrónicas a clientes bancarios surgen a partir de la técnica denominada “phishing”, por la cual el ciberdelincuente accede a los datos bancarios de los consumidores financieros. A partir de ello, proceden en la mayoría de los casos a robar el dinero que existente en la cuenta y, además, solicitan préstamos o realizan extracciones de dinero en conceptos de adelanto.

Cuando el consumidor financiero elige un banco, lo hace con la convicción de que este actúa conforme a lo regulado (i) en la Constitución Nacional, principalmente respetando el art. 42 del cual surge el derecho del consumidor a "(…) la protección de su seguridad e intereses económicos", (ii) acorde a la Ley de Defensa del Consumidor Nro. 24.240, (en adelante “LDC”) y (iii) en cumplimiento con las exigencias del Banco Central de la República Argentina (en adelante “BCRA”), quien emite comunicaciones respecto de las medidas de seguridad que recaen sobre las entidades financieras. Recientemente, ha emitido la Comunicación “A” 7724, vigente desde septiembre de 2023, estableciendo los “Requisitos mínimos para la gestión y control de riesgos de tecnología y seguridad de la información”. Allí se informa que las entidades deben establecer un marco de gestión de ciberincidentes que contemple medidas técnicas y organizativas que les permitan minimizar impactos y contener su propagación mediante la aplicación de controles para la respuesta y recuperación. Debido a ello, ante un caso de ciberestafa, se analiza si la entidad financiera involucrada ha protegido al usuario conforme los lineamientos establecidos en los comunicados emitidos por el BCRA.

Sobre esto, Carlos Ghersi dice que “La CSJN, en su actual composición, señala que las empresas son profesionales y que como tales deben tener las previsiones que hacen a esa profesionalidad (actual art. 1725, CCyCN) y que, conforme las disposiciones de la ley 24.240 de defensa de los derechos del consumidor y la reforma constitucional de 1994 (arts. 41 y 42), la tutela del usuario de servicios o el consumidor de productos goza de una seguridad absoluta (art. 5, ley 24.240) que obliga a las empresas a una seguridad eficiente (como riesgo de empresa). El actual CCyCN ha plasmado en forma expresa dicho deber de prevención en el art. 1710 y ss”[2].

Evolución jurisprudencial de los años recientes.

Existen algunos fallos recientes en los que se ha argumentado que la responsabilidad del banco es de medios, resolviendo que las estafas sufridas por el usuario fueron hechos de terceros por los que la entidad no debía responder. Estos fallos -aislados- permitieron liberar de responsabilidad a los bancos que lograron probar su diligencia y colaboración con sus usuarios, brindando información, sin que existiera prueba suficiente que los condenara por incumplimiento del deber de seguridad. Así es como en el fallo “Cipriano, Ricardo José y otro c. Banco Credicoop Coop. Ltdo. s/ Ordinario” del año 2020, la Sala F de la Cámara Nacional de Apelaciones en lo Comercial determinó que, si bien parte de las obligaciones de la actividad bancaria es la de proteger los activos de los consumidores financieros de posibles robos o hurtos, siendo fundamental su custodia para atenuar estos riesgos, no correspondía condenar al banco demandado por haber actuado conforme se espera en su especialización, con el atenuante de además, haber ofrecido apropiadamente el deber de seguridad en el sistema de home banking, con la activación de un sistema de doble validación con clave.

Sin embargo, la postura expuesta previamente no es la seguida por la mayoría de los jueces en la actualidad. Hoy son varios los juzgados a lo largo del país que no aceptan la culpa del consumidor financiero por cuanto determinan que uno de los principales deberes de los bancos para poder operar en el universo digital, es cumplir con un mínimo de medidas de seguridad que sean suficientes para advertir y, de ser posible, evitar las estafas informáticas. Así lo determinó, por ejemplo, el Superior Tribunal de Justicia de la Provincia de Río Negro en el fallo “Bartorelli, Emma Graciela c. Banco Patagonia S.A. s/ Daños y perjuicios” de octubre del año 2023. Ese tribunal resaltó el hecho de que fue el banco quien impuso la realización de trámites por canales digitales y, por ser este el prestador del servicio es quien debe procurar la seguridad en cada operación.

Otro fallo a destacar es “Serra, Dina c. Nuevo Banco de Santa Fe SA s/ demanda de derecho de consumo” del Juzgado de 1ra Instancia de Distrito en lo Civil y Comercial de 14 Nominación de Rosario, donde el Dr. Marcelo Quaglia, en marzo del año 2023, resuelve “(…) el demandado no ha cumplido con su obligación de prestar los servicios conforme las condiciones legales y contractuales pactadas (art. 19 LDC), no ha cumplimentado con su obligación de custodia sobre el dinero depositado incumpliendo con el deber de confianza que pesa sobre sus hombros (art. 1067 Cód. Civ. y Comercial), se ha violado la obligación de seguridad y la tutela de los intereses económicos del consumidor (arts. 5 y 40 LDC y 42 CN), se ha incumplido con la obligación de informar y advertir (arts. 42 CN, 4 y 6 LDC, 1100 y 1107 Cód. Civ. y Comercial) y se ha incumplido el deber de prevención del daño que se impone a toda persona (art. 1710 y ss. Cód. Civ. y Comercial). Asimismo, a todo ello debe adicionarse la ausencia de un trato equitativo y digno para con el actor, previo al planteo del presente proceso, así como durante su desarrollo (arts. 42 CN y 8 bis LDC)”.

Para lograr eximirse de la responsabilidad que la norma les impone, las entidades financieras deben probar que existe una causa ajena que rompe el nexo causal, es decir, que hubo una participación de la víctima en el hecho dañoso de forma tal que la entidad a quien se demanda no sería responsable por el hecho del damnificado, o bien, deberán probar que se trata del hecho de un tercero por quién no deben responder, conforme lo establecen los arts. 1729 y 1731 del Código Civil y Comercial de la Nación (en adelante, CCyCN).  Esto se debe a que el deber de seguridad inherente a las entidades bancarias se establece como una imputación objetiva, regulado así en el CCyCN en sus arts. 1710, 1722 y 1723. La tarea de probar la ruptura del nexo de causalidad será desafiante para las entidades financieras, ya que existe un riesgo significativo de que se les atribuya responsabilidad, especialmente debido a que fueron las propias entidades las que introdujeron los canales digitales, los cuales son considerados riesgosos por la propia actividad y servicios que brindan. 

Tal como lo exige el BCRA, las entidades bancarias que brindan atención a sus clientes por medio de aplicaciones o medios de comunicación e interacción digital, deberán garantizar, al menos, el mismo nivel de seguridad que ofrecen en las operaciones que se realizan de forma presencial, de modo que se acredite fehacientemente la identidad de la persona. Este deber de seguridad procede en virtud de lo regulado tanto en la Constitución Nacional, como en la LDC, en sus art. 5, 6, y 40, que protegen los derechos de los consumidores y usuarios.

En ese sentido, tal como sostiene autorizada doctrina, “El contenido de la obligación de seguridad, en el marco de las relaciones de consumo, supone de manera principal incorporar al mercado productos seguros conforme a las exigencias normativas y a las expectativas legítimas del consumidor”[3].

El deber de seguridad conlleva que el proveedor de un bien o servicio no solo este obligado respecto de lo pactado contractualmente con el usuario, sino que también debe asumir la obligación de adoptar las medidas necesarias para protegerlo de posibles daños que sean propios del bien o servicio contratado. Tal como dice Pizzarro, “(…) pesa sobre el proveedor profesional una obligación de seguridad y garantía respecto del adquirente o del consumidor con el que ha contratado, que le impone suministrar productos que no causen daños a este último en su persona o en sus bienes[4]”.

Al respecto, la Corte Suprema de Justicia de la Nación ha dicho que "el deber de seguridad…es una decisión valorativa que obliga a la sociedad toda a desempeñar conductas encaminadas al cuidado de lo más valioso que existe en ella: la vida y la salud de sus habitantes, ricos o pobres, poderosos o débiles, ancianos o adolescentes, expertos o profanos"[5].

Por esta razón, las entidades financieras, para tratar de mitigar sucesos como los antes mencionados, deben continuar fortaleciendo las técnicas y mecanismos de seguridad e implementando otros nuevos que resultan necesarios y adecuados a medida que avanza la tecnología, para lograr la correcta prevención de los delitos cometidos por los ciberdelincuentes. Además, deben implementar una adecuada y continúa comunicación con los usuarios a fin de educarlos respecto de las estafas posibles, con el propósito de evitar que sean engañados por los delincuentes para obtener sus datos.

Por otro lado, las entidades financieras también se enfrentan a gravosas consecuencias en sede administrativa. Si estas no proceden a emplear medidas de seguridad eficientes para el resguardo de los intereses económicos de sus usuarios poniéndolos en riesgo, la autoridad de aplicación se encuentra facultada para sancionarlas. Es así como la Secretaría de Comercio Interior de la Nación multó a los bancos Santander Río y BBVA debiendo pagar una suma de $5.000.000 cada uno porque la Dirección Nacional de Defensa del Consumidor y Arbitraje en Consumo determinó que esas entidades incumplieron con su obligación de garantizar la seguridad sobre los datos personales e intereses económicos de sus usuarios financieros, siendo responsables por la falta de protección ante situaciones de estafas digitales[6]. Así como otras instituciones financieras que también han sido sancionadas en instancia administrativa por la misma razón, como son los bancos Macro, Superville, Banco de la Ciudad de Buenos Aires, entre otros[7].

Debido a lo expuesto, las entidades bancarias pueden llegar a ser consideradas responsables frente a los consumidores financieros, víctimas de ciberdelitos, en virtud de los deberes de información y de seguridad que les incumbe como proveedores de la relación comercial.