Partes: U. N. M. c/ Banco Bbva Argentina S.A. s/ abreviado – otros – tram oral – expte. 10176944
Tribunal: Juzgado Civil, Comercial y Familia de San Francisco
Sala/Juzgado: 3A
Fecha: 11-feb-2022
Cita: MJ-JU-M-136171-AR | MJJ136171 | MJJ136171
Phishing y relación de consumo: aun cuando el cliente haya proporcionado sus claves personales de homebanking a terceros, el banco debe responder objetivamente por los perjuicios que sufrió aquél.
Sumario:
1.-Corresponde atribuir responsabilidad al banco, en forma objetiva, de acuerdo al art. 40 de la Ley de Defensa del Consumidor 24.240, por los daños que sufrió uno de sus clientes, víctima de phishing, si aquél prestó de manera defectuosa los servicios a su cargo e incumplió sus deberes legales, sin que se hubieran demostrado las eximentes invocadas, advirtiéndose que las medidas desplegadas fueron insuficientes e inadecuadas para dar cumplimiento efectivo a la obligación de seguridad en el entorno digital utilizado por el usuario, lo cual queda puesto de relieve en que, detectado el movimiento sospechoso, envió al cliente un aviso mediante SMS y se comunicó telefónicamente con él para consultar si había solicitado un préstamo personal, a lo que el nombrado respondió rotundamente que no, pese a lo cual aprobó el préstamo preacordado y autorizó las transferencias sospechosas.
2.-El banco que autorizó transferencias y aprobó un préstamo personal en perjuicio de un cliente que había sido víctima de phishing, debe responder por los daños irrogados en forma objetiva, según el art. 40 de la Ley de Defensa del Consumidor 24.240, si el perfil financiero del damnificado -evidenciado en su tarjeta de crédito e ingresos salariales- tornaba irrazonable e inhabitual la solicitud del préstamo tanto como las transferencias realizadas, lo que permitió al banco detectar el carácter sospechoso de esos movimientos y comunicarse telefónicamente con aquél, quien negó haber pedido e préstamo, pese a lo cual autorizó las operaciones, de manera que omitió arbitrar mecanismos de seguridad apropiados dentro de su competencia para asegurar la transmisión y recepción de las transacciones, así como utilizar herramientas de mitigación de fraude, con incumplimiento -entre otras normas- del art. 2.2.2.11 de la Comunicación BCRA A N° 7072.
3.-Que el cliente, mediante engaño en una maniobra de phishing, haya proporcionado sus claves personales de homebanking, no configura hecho de la víctima que permita eximir de responsabilidad al banco por los perjuicios irrogados al cliente, si se incumplió la normativa del Banco Central de la República Argentina que impone medidas para mitigar y evitar los casos de phishing, lo que pone en evidencia que esas acciones delictivas son previsibles y evitables mediante la adopción de medidas de ciberseguridad adecuadas, de acuerdo a la condición profesional de la actividad bancaria y propia del deber de seguridad inherente a la relación de consumo, sin perder de vista que el usuario en entornos digitales tiene una ignorancia razonable, siendo víctima de terceros estafadores con conocimientos técnicos.
4.-Ante la toma de conocimiento, por el banco, de que un cliente había sido víctima de phishing, a partir de lo cual se le había acordado un préstamo que no había solicitado y se habían autorizado ciertas transferencias, pese a que no se condecían con su perfil financiero, media incumplimiento del deber de informar conforme arts. 1100 del CCivCom. y 4° de la Ley 24.240, si -entre otras cosas- al concurrir el damnificado a la sucursal, no se le dio explicación alguna de lo ocurrido y la entidad bancaria, quien pudo conocer lo sucedido a partir de la investigación penal a que dio lugar la denuncia formulada por aquél, omitió contestar tres cartas documentos remitidas por el nombrado y rechazó su reclamo administrativo, lo que le fue comunicado mediante un mensaje de correo electrónico que decía: Te informamos que el reclamo ha sido resuelto desfavorablemente de acuerdo al análisis efectuado , lo que no proporciona información clara ni detallada.
5.-Habiendo conocido el banco de que un cliente había sido víctima de phishing, a partir de lo cual se le había acordado un préstamo no solicitado y se habían autorizado ciertas transferencias, a pesar de que no se condecían con su perfil financiero, debe concluirse que la institución financiera no brindó condiciones de atención y trato digno y equitativo al consumidor, si pese a sus reclamos, no recibió respuesta satisfactoria ni sus problemas se solucionaron, habiendo aquélla priorizado la maximización del beneficio en demérito del débil en la relación jurídica -el consumidor perjudicado-, conducta claramente desaprensiva para con este último, quien dio cuenta de la sensación de preocupación, incertidumbre, frustración, impotencia y desesperación generada por sentirse forzado a transitar múltiples e infructuosos caminos debido al errático comportamiento de quien debió brindarle, en primer lugar, un servicio seguro y, en segundo término, una válida solución a sus planteos, hasta tener que acudir a la alternativa del reclamo judicial.
6.-A fin de cumplir con la obligación de seguridad, el banco debe tomar medidas que permitan evitar la consumación de estafas electrónicas, como extremar las instrucciones algorítmicas que permitan detectar automáticamente operaciones sospechosas -sea por la cuantía de los montos, la inhabitualidad de los movimientos, destinatarios no registrados, etcétera- o llevar un registro de direcciones IP seguras o habituales, para que alertar la existencia de operaciones realizadas desde dispositivos con direcciones de IP no habituales; asimismo, debe tenerse en cuenta que muchas operaciones fraudulentas -por ejemplo, la solicitud de un préstamo- podrían evitarse si la entidad bancaria exigiría ciertos recaudos para confirmar la operación: un llamado telefónico al cliente corroborando la transacción o exigir la presencia del consumidor en una sucursal física para concretar la operatoria.
7.-Es procedente el reclamo a título de daño moral formulado contra el banco que autorizó transferencias y aprobó un préstamo personal en perjuicio de un cliente que había sido víctima de phishing e incumplió sus obligaciones de seguridad, información y trato digno hacia el damnificado, si la situación vivida por éste razonablemente afectó su espíritu y dignidad, de forma anímicamente perjudicial, al haberle provocado una sensación de preocupación, incertidumbre, frustración, impotencia y desesperación, lo que se vio agravado por tener que transitar múltiples e infructuosos caminos debido al errático comportamiento de la entidad financiera, en el marco de una relación de consumo -la relación bancaria- en la cual el consumidor debe tener seguridad y confianza,
8.-Debe acogerse la pretensión de daño punitivo en los términos del art. 8º Bis de la Ley 24.240 -en la especie, $ 400.000-, formulada por el cliente de un banco que fue víctima de una maniobra de phishing, a resultas de la cual se aprobó un préstamo que no había solicitado y se autorizaron ciertas transferencias que no se condecían con su perfil financiero, habiendo la entidad bancaria incumplido sus obligaciones de seguridad, información y trato digno hacia el consumidor, puesto que su accionar no sólo lo configura incumplimiento legal o convencional, sino un proceder consciente de lo defectuoso del servicio prestado y, especialmente, del deber de seguridad en entornos digitales que debe proveer a sus usuarios, lo cual denota un grave menosprecio hacia los derechos del consumidor y una transgresión al principio de buena fe, al crear una situación de desinformación, desamparo y perturbación para con el cliente afectado.
9.-La obligación de seguridad que deriva de la relación de consumo impone, a la entidad bancaria, extremar las medidas de seguridad para evitar los previsibles y reiterados ataques y fraudes informáticos; en tal inteligencia, el presupuesto básico de los servicios que ofrece la entidad es que éstos sean brindados, tanto cuando se haga en forma personal como por medio de elementos mecánicos o electrónicos, con total seguridad para el cliente, seguridad que está dada, prioritariamente, por la confianza que el medio empleado brinda al consumidor y que no sólo radica en el uso de una clave personal y única, sino también por la esperable inviolabilidad del software utilizado por el banco.
10.-La obligación de seguridad de los bancos para con sus clientes se extiende a los servicios digitales, por lo que los bancos deben proveer la gestión, implementación y control de los riesgos relacionados con tecnología informática, sistemas de información y recursos asociados para las entidades financieras, de manera tal que su utilización sea segura parar los usuarios; en otras palabras, los bancos deben asegurar a sus usuarios la seguridad de estos entornos digitales, desplegando herramientas de ciberseguridad , entendida ésta como el conjunto de herramientas, políticas, conceptos de seguridad, salvaguardas de seguridad, directrices, métodos de gestión de riesgos, acciones, formación, prácticas idóneas, seguros y tecnologías que pueden utilizarse para proteger los activos de una organización -pública o privada- y a los usuarios en el ciberentorno.
11.-Los bancos, en su carácter de proveedores profesionales en la actividad bancaria, tienen, respecto de sus clientes, el deber de seguridad, dado que aceptan cuidar los fondos de una inmensa masa de personas que, como es obvio, no tienen el mismo nivel cultural, ni idénticas capacidades, habilidades o situaciones personales, por lo que no pueden ignorar que el acceso a esa gigantesca fuente de recursos monetarios que les trae lucro tiene, como correlato lógico, su obligación de hacerse cargo de atender a todos llevando al límite los arbitrios posibles para minimizar los riesgos a los que habrán de estar expuestos los usuarios.
12.-La obligación de seguridad -arts. 42 , CN.; y 5º , Ley de Defensa del Consumidor 24.240- impone a los proveedores el deber de preservar, en la relación de consumo, la indemnidad de la persona y bienes de los consumidores y usuarios y, especialmente, el de adoptar medidas de prevención de riesgos, de manera tal que los bienes y servicios, usados en forma normal, sean seguros para el consumidor o usuario, y que no causen daños a su persona y sus bienes, debiendo el proveedor, por aplicación del art. 40 de la Ley 24.240, responder objetivamente por los daños que el consumidor sufra en virtud del riesgo o vicio de la cosa o del servicio prestado.
13.-La relación jurídica que se establece entre un banco y el titular de cuentas bancarias configura una relación de consumo, ya que este último encuadra dentro de la noción de consumidor , toda vez que se trata de una persona humana que es usuario con destino final del servicio financiero ofrecido por aquél, quien reviste calidad de proveedor en los términos del art. 2° de la Ley 24.240, ya que desarrolla de manera profesional y habitual la actividad financiera; Por otra parte, los arts. 1384 a 1389 del CCivCom. establecen que las normas del sistema protectorio del consumidor resultan aplicables a los contratos bancarios con consumidores y usuarios.
14.-Ante una relación de consumo -en el caso, la establecida entre un banco y uno de sus clientes-, la cuestión litigiosa debe resolverse, tal como lo imponen los arts. 1° y 2° del Código Civil y Comercial de la Nación, interpretando el ordenamiento jurídico coherente y armónicamente con el paradigma protectorio del consumidor consagrado en el art. 42 de la CN. y en la Ley 24.240 y sus modificatorias, así como los arts. 1092 , sgtes. y ccdtes. del CCivCom..
%20-%20copia%20-%20copia%20-%20copia%20-%20copia%20-%20copia.png)
No hay comentarios:
Publicar un comentario