En un fallo inédito en materia de ciberseguridad, seguridad bancaria y protección al consumidor, un Tribunal de La Plata responsabilizó a un banco por la falta de medidas preventivas en un caso de estafa digital que afectó a una pyme de Chivilcoy.

El juez Juan José De Oliveira, a cargo del Juzgado en lo Civil y Comercial Nº 9 Departamental, determinó que la entidad bancaria incumplió con su deber de seguridad al no monitorear ni controlar adecuadamente las operaciones realizadas desde la cuenta de la empresa y la condenó a pagar casi $140 millones.

Según el sitio de Todo Noticias (TN), el monto se compone del equivalente a 100 canastas básicas por incumplimientos en las medidas de seguridad de sus operaciones electrónicas, y agrega la devolución de las sumas sustraídas a la pyme por medio de transferencias fraudulentas ocurridas luego de la estafa.

El caso se remonta al 20 de marzo de 2023, cuando el socio gerente de Grupo Logística Uno, José Luis Aronna, intentó realizar una transferencia a un proveedor a través del sistema de homebanking del BBVA. Durante la operación, la pantalla se congeló y, minutos después, la empresa descubrió que se habían realizado 18 transferencias no autorizadas a cuentas de terceros por un total de $39.999.342,29, y se había solicitado un préstamo no autorizado por $3.500.000.

Las transferencias fueron dirigidas a cuentas bancarias de personas y empresas desconocidas, algunas de las cuales figuraban en una "lista negra" de cuentas fraudulentas mantenida por el propio banco. La empresa denunció el hecho ante la entidad y presentó una denuncia penal por defraudación informática, que aún está en trámite, siempre de acuerdo con TN.

En el fallo, el perito informático determinó que la computadora de la empresa estaba infectada con un virus malware. Al acceder al homebanking para hacer una operación de rutina, Aronna ingresó sus claves y el token necesario, como lo hace habitualmente. Pero esa vez, la pantalla se le "tildó". A partir de ese momento, el malware capturó las credenciales.

De manera remota, los ciberdelincuentes obtuvieron la contraseña y token, y produjeron el vaciamiento de la cuenta corriente bancaria: en menos de 30 minutos lograron desviar $39.999.342,29 mediante 18 operaciones fraudulentas a 17 cuentas bancarias distintas y solicitaron el préstamo, que también transfirieron a cuentas desconocidas.

En principio, el juez encuadró el caso dentro de una relación de consumo, amparada por la Ley de Defensa del Consumidor (Ley 24.240), ya que el servicio bancario no estaba destinado a integrarse en un proceso de producción, sino a facilitar operaciones financieras cotidianas, como el pago a proveedores. Además, se refiere a la Circular A.7969 del Banco Central de la República Argentina, que establece estándares de protección para los usuarios de servicios financieros, sin distinción entre personas físicas y jurídicas.

Este último es uno de los pilares del fallo: la obligación de seguridad que pesa sobre el banco. El juez sostuvo que, al ofrecer servicios electrónicos como el homebanking, la entidad asume la responsabilidad de garantizar que su sistema sea seguro y confiable.

El banco argumentó que la empresa había actuado con negligencia al no proteger su computadora con un antivirus y al facilitar sus datos a terceros. Sin embargo, el juez rechazó estos argumentos. "El banco no tiene la obligación de controlar las computadoras de los clientes, ni verificar si cuentan o no con antivirus; pero sí está obligado con el usuario de un servicio financiero de cuenta corriente bancaria a prevenir un daño en caso de vaciamiento de una cuenta. Y la prevención no se brindó", consideró el magistrado, citado por TN. (DIB) GML