La evolución de las tecnologías, profundizada por la pandemia de Covid-19, aceleró enormemente la digitalización en todos los aspectos de nuestra vida. Particularmente, aquellos que se circunscriben a los trámites que consumidores y usuarios de servicios realizan casi a diario; el pago de servicios, las compras que se realizan a través de comercio electrónico, o la gestión del dinero y las finanzas personales en general. 

Las operaciones bancarias y financieras que, realizadas en gran mayoría a través de las aplicaciones y/o páginas web pertenecientes a las entidades financieras, fueron grandes protagonistas del avance tecnológico. Hoy, los clientes ingresan a sus cuentas con sus datos bancarios y, gracias a un Token, concretan innumerables transacciones a diario, desde cualquier lugar.

Los servicios de tarjeta de crédito, de cajero automático o de banca hogareña, están sustancialmente ordenados a movilizar fondos, créditos o efectivo de un patrimonio a otro, o aún entre distintas cuentas de un mismo patrimonio. 

Todos éstos productos financieros están desarrollados sobre sistemas de transmisión de datos, entendiendo por tales;  las redes electrónicas de transferencia, las cámaras de compensación automática, u otros sistemas de comunicación entre distintos puntos de concentración, que permiten transmitir datos a un banco, incluyendo órdenes de pago.

De esta manera, previo ingreso por parte de los clientes de los datos y las credenciales otorgadas, las entidades financieras ejecutan las órdenes de los clientes. 

Los delincuentes no estuvieron al margen del avance tecnológico y del cambio de hábitos financieros y de consumo que se dispararon a partir de la pandemia. Como no podía ser de otra manera, muchos aprovecharon la situación para desarrollar nuevas formas de comisión de ilícitos penales.

Los usuarios están a merced de diversos tipos de estafas, entre ellas, el denominado “phishing”. ¿Qué es el phishing? Una modalidad de estafa que, a través de engaños a los clientes, se propone obtener sus datos privados por distintos medios con el objetivo de acceder a sus cuentas (nombres de usuario, contraseña, números de cuenta, PIN, tarjeta coordenadas, Tokens).  Así engañados, son los mismos clientes víctimas de phishing, quienes entregan sus datos en forma voluntaria.

Para concretar este tipo de estafas, los delincuentes  se valen de distintas modalidades de contacto; el envío masivo de correos electrónicos, el contacto a través de páginas falsas de Facebook e Instagram, y otros canales absolutamente ajenos a las entidades financieras a las que dicen representar o mantener algún tipo de relación.

Respondiendo a esta situación, y a los fines de paliar estas conductas delictivas, las entidades financieras brindan a sus clientes información al respecto y recomiendan a sus clientes que tomen distintas medidas para neutralizar potenciales engaños  y estafas. 

Estas recomendaciones, que se suelen publicar al inicio de los portales de homebanking en formato de alertas sobre color rojo, no siempre son tenidas en cuenta por usuarios y consumidores que, haciendo caso omiso de ellas, terminan siendo víctimas de los ilícitos. 

Con sustento en el régimen tuitivo otorgado por la Ley de Defensa del Consumidor N°24.240, y algunas disposiciones recogidas por el Código Civil y Comercial de la Nación, los clientes bancarios que se ven afectados por este tipo de delitos, reclaman a las entidades financieras  por daños que, en definitiva, no fueron causados por ellas sino por terceras personas, por quienes las entidades no deben responder. Una salida mucho más simple que encontrar al verdadero responsable del ilícito. 

Ahora bien, el 28 de diciembre de 2020 la Sala F de la Cámara Nacional de Apelaciones en lo Comercial de la Capital Federal confirmó la sentencia de primera instancia dictada en los autos “Cipriano, Ricardo José y otro c/ Banco Credicoop Coop. Ltdo. s/ Ordinario” absolviendo de toda responsabilidad a la entidad financiera demandada (el “Banco”)por los daños reclamados por el actor. 

En concreto, el demandante fundamentó su reclamo en la presunta falta de medidas de seguridad adecuadas que protegieran la plataforma informática ofrecida por el Banco y la presunta falta de información suficiente sobre los servicios prestados.

La sentencia dictada por la Sala F de la Cámara Nacional de Apelaciones en lo Comercial confirmó la postura del juez de primera instancia, que rechazó la demanda contra el Banco con el fundamento principal de que el deber de seguridad es una obligación de medios y no, como pretendía la parte demandante, de resultados. 

La Cámara resolvió que “el deber de seguridad no podrá considerarse como una obligación de resultado que conlleve un factor de atribución objetivo, como propenden los accionantes y la Representante del Ministerio Público Fiscal ante esta Cámara. En este sentido, en el precedente citado de dijo que «no es posible afirmar la existencia de una garantía de resultado, de manera que el usuario no sufra daño alguno» (voto del Dr. Lorenzetti, considerando 7º).”

Esto reivindica la limitación de responsabilidad de las entidades financieras, ya que reconoce que, sin perjuicio de las medidas de seguridad que las entidades financieras apliquen, pueden producirse ilícitos que excedan la capacidad de las referidas entidades para evitarlos.  Esto pone en cabeza de los clientes un cierto grado de responsabilidad por el manejo de las transacciones electrónicas realizadas. 

Todo esto no implica que las exigencias sean menores ya que, tal como estableció la sentencia “la relación jurídica sometida a juzgamiento desde el deber de seguridad, sea que se lo considere incorporado al vínculo por fuente constitucional (conf. arg. art. 42 de la CN) o legal (art. 5 LDC), evidente resulta que pesaba sobre el banco la obligación de adoptar aquellas medidas de prevención que fueran adecuadas a los concretos riesgos existentes en orden a la actividad profesional realizada (conf. voto del Dr. Lorenzetti, considerando 6to., «Ferreyra, Víctor D. y otro c. V.I.C.O.V. S.A.», del 21/03/06). Ahora bien. como hubiera anticipado, la extensión y contenido del deber de seguridad -art. 42 CN y art. 5 LDC- tiene íntima vinculación con los acontecimientos que, según el vínculo, resulten previsibles”. 

Cabe destacar que, a través de pericias informáticas, el Banco acreditó la suficiencia de los sistemas de seguridad utilizados al momento de la comisión del delito, dejando de manifiesto que no hubo situación alguna que pudiera hacer sospechar la posible comisión de una estafa.  

La Cámara consideró que el Banco cumplió adecuadamente el deber de seguridad de su sistema de banca electrónica a través del sistema de doble validación con clave con función hash sha-1, acreditado a través de la pericia que realizó oportunamente el ingeniero en sistemas. 

El fallo juzgó de esta manera que “(..) Credicoop adoptó la conducta esperable conforme su especialización. Ello en tanto no fue advertida por el experto ninguna circunstancia anómala en el desarrollo de dichas transacciones”.

Hablar de conducta esperable hace posible que las entidades bancarias puedan limitar su responsabilidad y quitarse el peso de cuestiones que exceden su especialidad, en casos como el que comentamos en los que la responsabilidad se atribuye a un factor exclusivamente objetivo.

Sin perjuicio de ello, no debe dejarse de lado que la otra conducta determinante a los fines de absolver al Banco, fue el cumplimiento del deber de información por parte del mismo. 

La Ley N° 24.240 en su artículo 4 establece que “el proveedor está obligado a suministrar al consumidor en forma cierta, clara y detallada todo lo relacionado con las características esenciales de los bienes y servicios que provee, y las condiciones de su comercialización. La información debe ser siempre gratuita para el consumidor y proporcionada en soporte físico, con claridad necesaria que permita su comprensión. Sólo se podrá suplantar la comunicación en soporte físico si el consumidor o usuario optase de forma expresa por utilizar cualquier otro medio alternativo de comunicación que el proveedor ponga a disposición»

El Banco, a través de la documentación acompañada en el proceso, acreditó haber brindado a los usuarios suficiente información a fines de evitar cualquier tipo de fraude o el robo de información, a través de terceros que solicitan datos que no corresponde entregar. 

La Cámara consideró que “la demandada brindó la información necesaria para que los accionantes pudieran llevar a cabo todas las operaciones necesarias a través de la Banca Internet sin ser sujetos de defraudaciones o fraudes.”

La documentación fue debidamente adjuntada al expediente y acreditada por el perito ingeniero en sistemas, toda vez que la información al respecto se encontraba en el sitio web del Banco de forma clara y precisa. 

En este sentido, el sentenciante no solo consideró cumplido el deber de información por parte del Banco, sino que, además, responsabilizó a la actora del accionar a la hora del uso de su Homebanking estableciendo que “no tengo dudas de que éstos no ejecutaron adecuadamente las medidas de seguridad informadas por el banco accionado, lo que propició ser sujetos de algún tipo de defraudación”. 

Insistimos que en el caso comentado no hablamos de fraudes o ataques contra el sistema informático del Banco, sino de  transferencias que se originaron por errores de los actores, clientes y/o usuarios del banco, que  desoyeron las recomendaciones de seguridad otorgadas por aquel. 

De esta manera, en estos casos tampoco podría considerarse como riesgoso el sistema informático, sino que sería una cosa inerte no pudiendo calificarse como actividad riesgosa ni encuadrarse dentro de los presupuestos del artículo 1757 del Código Civil y Comercial de la Nación. 

En otras palabras, no hay un riesgo creado por parte de las entidades financieras en el marco de la prestación del servicio de Home Banking. El Banco brindó la información necesaria para que los accionantes pudieran llevar a cabo todas las operaciones necesarias a través dicho servicio, sin ser sujetos de defraudaciones o fraudes. 

Creemos que corresponde celebrar la jurisprudencia sentada por este fallo ya que, de alguna manera, otorga un respiro a las entidades bancarias en materia de fraudes bancarios a través de banca electrónica.

Así, el fallo comentado estableció que “los elementos aportados en la causa resultaron concluyentes en cuanto a la inexistencia de un accionar antijurídico atribuible a la accionada”. 

En definitiva, el cumplimiento de las medidas de seguridad, adoptadas como obligación de medio, sumada a la información cierta, clara y detallada, y una posterior correcta acreditación en juicio, abre la posibilidad de que las entidades financieras no sean responsabilizados por la comisión de delitos informáticos y pone un freno al inicio de acciones indiscriminadas contra ellas.