Autor: Saires, Gustavo A. – Héctor, María E.
Fecha: 30-05-2022
Colección: Doctrina
Cita: MJ-DOC-16576-AR||MJD16576
Voces: PROTECCIÓN DEL CONSUMIDOR – BANCOS – CÓDIGO CIVIL Y COMERCIAL DE LA NACIÓN – BCRA – PHISHING – RESPONSABILIDAD BANCARIA – DEBER DE VIGILANCIA – OBLIGACIÓN DE SEGURIDAD
Sumario:
I. Introducción. II. El vínculo entre el cliente/ consumidor y el banco. III. La obligación de seguridad. IV. Importancia de la situación fáctica y de la prueba pericial.
Doctrina:
Por Gustavo A. Saires (*) y María E. Héctor (**)
I. INTRODUCCIÓN
La pandemia y las restricciones para concurrir presencialmente a los bancos, han multiplicado el manejo por cajero automático o por internet de los clientes/ consumidores con aquellos.
Esta situación fáctica ha multiplicado hechos ilícitos en los cuales el cliente/consumidor bancario es víctima de una maniobra fraudulenta, por la cual engañado suministra las claves de su cuenta bancaria y así extraen de la misma no solo las sumas allí depositadas, sino también un préstamo electrónico circunstancia esta última, que en algunos casos conocen posteriormente.
Cabe entonces la pregunta sobre la responsabilidad bancaria en esos casos. La respuesta de los bancos ante el reclamo de la víctima, su cliente/consumidor, es que entienden que han cumplido con sus obligaciones ya que no intervienen en movimiento alguno, siendo solo intermediarios por hallarse en ellos la cuenta de débito, recordando que no deben brindarse los datos del usuario ya que los millones de posibilidades que brindan las claves, las hacen seguras, extremo al que han dado todo tipo de publicidad.
Sin embargo, en el período interanual enero de 2020 a abril 2021 las denuncias de fraudes o estafas bancarias crecieron un 286%, por lo que resulta inexplicable la pasividad de los bancos, al no adoptar otras acciones positivas en la prevención del daño social.
Recién el 01.07.2021 el Banco Central de la República Argentina (BCRA), con relación a los préstamos en los cuales los clientes ya están pre-calificados por las entidades financieras, por lo que no tienen que acompañar más documentación y poseen un margen crediticio tope del que pueden disponer inmediatamente en sus cuentas, emitió la Comunicación A 7319 que estableció medidas de autenticación adicionales para su otorgamiento.
La pregunta es si la conducta de la víctima del fraude interrumpe el nexo causal en la responsabilidad objetiva y profesional del banco, y si correspondía que las entidades bancarias adoptaran aquellas medidas o similares antes que lo dispusiera el BCRA, intentaremosde dar una humilde respuesta, teniendo en cuenta dos aspectos. El primero es el vínculo entre el Banco y su cliente/consumidor en este tipo de contratos y el segundo es la obligación de seguridad que le deben a aquellos, poniendo el acento en la cláusula constitucional que la establece (art. 42 CN).
Creemos que la respuesta del fuero represivo en este tipo de ilícitos ha sido escasa o nula, sobre todo en aquellos casos en que, acaecido el hecho, la incautación judicial de las cuentas de destino no fue rápida, o la transferencia del dinero se hizo a través de billeteras virtuales, o la trama en la tercerización de las cuentas por las que transita el dinero resulta compleja.
Por tanto, para el cliente/consumidor es decisiva la respuesta desde el derecho civil.
II. EL VÍNCULO ENTRE EL CLIENTE/CONSUMIDOR Y EL BANCO
Lo que se debe analizar previamente en estos casos, es si el cliente ha aceptado en la apertura de cuenta que se le otorguen préstamos electrónicos preaprobados y sus características, ya que de otra forma el banco no tendría sustento contractual alguno para reclamar el cobro de este tipo de préstamos, como por ejemplo si la documentación que suscribió el cliente/consumidor en el contrato de adhesión con el banco, solo era de apertura de una caja de ahorro donde percibe sus haberes (art.36 LDC). La falta de aceptación bajo su firma del cliente/consumidor de los mismos, tornan inexistente el contrato (art 288 CCyC) por ausencia de firma, prueba de la autoría de la declaración de su voluntad, pues quien solicita y obtiene el préstamo es el estafador.
Resulta necesaria en el caso, una convención entre las partes, donde rige la autonomía de la voluntad, que acuerdan otorgarle validez a las declaraciones que hagan en el futuro en forma electrónica (1). En particular por lo que veremos «ut infra» porque el requerimiento y acreditación de estos préstamos hasta el 01.07.2021 ha sido automática, debe precisarse también si el cliente/consumidor aceptó el costo total del financiamiento, el costo financiero total y las condiciones de desembolso y reembolso (art. 1389 CCyC y 36 Ley de Defensa del Consumidor -LDC-), de otra forma el contrato de crédito aun validando el requerimiento electrónico del préstamo sería nulo. Es que la devolución debe ajustarse a lo pactado (art. 1408 CCyC).
Establecido que el cliente/consumidor debidamente informado aceptó este tipo de préstamos y sus condiciones, los que se le acreditarían en su cuenta cuando así lo requiriera por los canales informáticos del Banco, a través de las claves personales que él eligiera, debemos responder si su conducta como víctima del ilícito interrumpe aquél nexo causal o no.
III. LA OBLIGACIÓN DE SEGURIDAD
La obligación de seguridad fue tratada en las XX Jornadas Nacionales de Derecho Civil, realizadas en la Universidad de Buenos Aires en el año 2005. Algunas conclusiones de la mayoría a las que adherimos y consideramos con vigencia son: La seguridad como principio general de derecho protege todas las relaciones jurídicas y tiene su fundamento en los arts. 19 , 41 , 42, 43 y art. 75 inc.22 de la Constitución Nacional (CN), así como en la solidaridad social y el principio de buena fe, inscribiéndose dentro de los horizontes preventivos del moderno Derecho de Daños. Esta obligación es en principio de resultado y en determinadas ocasiones, puede consistir en una prestación de medios.
La obligación de seguridad en el marco de las relaciones de consumo, se inscribe dentro del régimen resarcitorio especial emergente de la LDC.
Ahora bien, que el cliente bancario fuera considerado un consumidor y la relación en cuanto a las prestaciones que contrata con el Banco y servicios que este le presta estén regidas por la LDC, con anterioridad a la sanción del Código Civil y Comercial, era aceptado mayoritariamente por la doctrina y por no poca jurisprudencia. Sin embargo, las entidades bancarias oponían como defensa que la relación debía juzgarse por el Código Civil (CC), siendo errónea la aplicación de la ley 24.240.
Por ello y por experiencia profesional, en la primera década de este siglo cuando referíamos a la obligación de seguridad de los bancos frente a sus usuarios/clientes dábamos un doble fundamento en el CC y en la LDC.
En el conocido precedente «Bieniauskas» (2) resuelto por la Cámara Nacional de Apelaciones en lo Comercial Sala D, se admitió la responsabilidad del Banco por la extracción por delincuentes de los fondos que el actor poseía en una cuenta, utilizando para ello: una tarjeta de débito duplicada, información privilegiada del actor y comunicación telefónica con éste, que creyó que le hablaban del banco y le alertaban que terceros estaban utilizando una tarjeta electrónica apócrifa y así les reveló su clave de identificación personal (PIN). Esta maniobra delictiva la realizaron concomitantemente con 150 clientes de ese Banco.
El Dr. Rafael Barreiro como Juez de Primera Instancia, resolvió hacer lugar a la demanda y fundó el derecho en la CN art 42 y LDC arts.5 y 40 .
La Cámara confirmó el criterio hermenéutico, pero frente al agravio del Banco de inaplicabilidad de la LDC, hizo un esfuerzo por fundamentar la condena también en las normas del Código Civil. Para ello recurrió al art. 1113 del CC, ya que consideró al sistema informático como cosa (art. 2311 CC), siendo riesgosa para el Banco y para el usuario por las características de la actividad, ya que está expuesta a maniobras de terceros, siempre partiendo del estándar profesional del banco (art. 902 CC). La culpa de la víctima que contemplan ambos regímenes el entonces fondal y el especial (art. 1113 CC y art. 40 LDC), en el caso se consideró irrelevante para interrumpir la cadena de causalidad, ante normativas incumplidas de seguridad del Banco Central, obligatorias para el banco como entidad autorizada por el Estado para tomar ahorros públicos, y las características de la múltiple maniobra estafatoria. Es cierto que en este caso los estafadores contaban con información privilegiada de las víctimas y se comunicaron con ellas telefónicamente, creyendo éstas que les llamaban desde la entidad bancaria.
El mismo Juez ya como camarista opinó en un reclamo por haber permitido el Banco demandado por su negligente actuación, el vaciamiento ilícito de la cuenta de caja de ahorro en dólares que poseía la actora en una sucursal de Capital Federal, mediante tres extracciones en un mismo día con diferencia de minutos, desde tres sucursales del banco en la provincia de Buenos Aires. Las extracciones fueron por cajero presencial, utilizando una tarjeta apócrifa y el PIN de la actora. Como la investigación penal fue nula por problemas de competencia por jurisdicción, la pericia criminalística realizada en sede comercial decidió el pleito.Así se comprobó, que no se exigió presentación de DNI a quienes realizaron las extracciones, que no firmaron recibo de extracción, que en solo una de las sucursales las cámaras mostraban la actividad de las cajas y que en las cámaras útiles a la pericia en el horario de la transacción motivo de litis, los clientes eran varones, mientras que la titular de la cuenta era una mujer.
Siendo el Dr. Barreiro el vocal preopinante, consideró que entre actora y demandado hubo una relación de consumo, lo cual tuvo también su apoyatura al no existir queja en el punto de la apelante. Ello lo llevó a efectuar mayores consideraciones sobre la normativa que protege los derechos de los consumidores y usuarios, la que entendió insoslayable (art 65 LDC). Afirmó así que la violación del «deber de seguridad» conlleva la obligación indemnizatoria en cabeza del proveedor d e bienes o servicios, deber incluido en la noción del art. 1198 del Cód. Civ. y también en la disposición del art. 37 LDC. Y, además, consagrado en los arts. 4 a 6 LDC bien que en orden a la protección de la salud y la vida de consumidores y usuarios, en consonancia con lo que prescribe el art. 42 de la Constitución Nacional, garantía que reglamenta. Pero para el camarista no existe óbice para proyectar ese «deber» a los casos en que resulten afectados los intereses económicos de los consumidores a lo que agrega que la conducta del banco en materia contractual, respecto de sus clientes, no puede apreciarse con los parámetros aplicables a un neófito, sino que debe ajustarse a un «standard» de responsabilidad, acorde a su carácter profesional.
Para este vocal el banco es un colector de fondos públicos, y el interés general exige que los servicios que presta, funcionen responsable y adecuadamente, pues los consumidores descuentan su profesionalidad.Y así concluye que el mecanismo implementado por el demandado -que dio lugar a la contienda- para proceder a individualizar a las personas que extrajeron dinero por una ventanilla, no era seguro, no pudiendo pretender el quejoso, que la tarjeta magnética y el PIN garanticen la genuinidad de las operaciones si soslayó la obligación de extender la constancia pertinente. Tampoco verificó si se trataba de movimientos usuales de la cuenta. Omisión reprochable, teniendo en cuenta la cuantía de las operaciones y el escaso lapso temporal trascurrido entre una y otra, la moneda en que fueron realizadas y las recomendaciones que sobre el particular imparte el BCRA (art. 902 CC). A lo que sumó lo ocurrido con las cámaras de video, incumpliendo también normativas del BCRA.
En síntesis, la inseguridad descripta la encuadró derechamente en el art. 40 de la LDC. En efecto, esa inseguridad constituyó un riesgo de la prestación del servicio que consideró, debía ser asumido por la entidad bancaria demandada.
Tal decisorio fue comentado por Guillermina Muñoz Barda (3) quien afirma que el tema de la aplicación de la LDC a las relaciones entre la entidad bancaria y el cliente era discutido, a pesar de que cada vez existía mayor consenso acerca de su aplicabilidad, criterio que comparte señalando que el art. 1384 del Código Civil y Comercial al establecer que las disposiciones relativas a los contratos de consumo, son aplicables a los contratos bancarios, puso fin a la discusión de todos aquellos contratos posteriores a su sanción.
Tenemos a esta altura un piso de marcha para extraer algunas conclusiones a la luz del CCyC y la LDC. Antonio J. Rinesi critica el CCyC por la posición que ha asumido de no regular el deber de seguridad en los contratos, aunque sí se la admite en el ámbito de la LDC que es también contractual (4).
Otros consideran el deber de seguridad en el deber genérico de buena fe en el ejercicio de los derechos (art 9 CCyC), en art.961 en los contratos, y en la prevención del daño del art. 1710 y cctes. del CCyC, como así que la responsabilidad objetiva de los arts. 1757 y 1758 (hecho de las cosas y actividades riesgosas) hace nacer en cabeza del dueño o guardián de aquellas o de quien realiza, se sirve u obtiene provecho de la actividad, una obligación de seguridad, criterio que compartimos, máxime al aplicarse ahora a casos contractuales o extracontractuales (5).
Aquí tenemos pues para los casos posteriores a la vigencia del CCyC, la responsabilidad bancaria por incumplimiento del deber de seguridad en los contratos bancarios a los que se aplican las disposiciones relativas a los contratos de consumo (art. 1384 y 1093 CCyC), juzgada con un triple fundamento de fuentes: la constitucional que prescribe el art. 42 de la CN, norma en la que quedaron plasmados específicamente los derechos constitucionales de los consumidores y usuarios (6), la legal de los arts. 5, 6 y 40 de la LDC y las normas pertinentes del CCyC (arg. art. 1094 CCyC) y por último la reglamentaria, dentro de las cuales consideramos todas las reglamentaciones del BCRA, obligatorias para estas entidades autorizadas por el Estado para tomar ahorros públicos.
Así, según la Comunicación BCRA «A» N° 6.017 del 15/07/2016, referente a los «Requisitos mínimos de gestión, implementación y control de los riesgos relacionados con tecnología informática, sistemas de información y recursos asociados para las entidades financieras», en el artículo 6.7.4. «Tabla de Requisitos de Monitoreo y Control», se establece que: «las entidades deben disponer de mecanismos de monitoreo transaccional en sus -canales electrónicos-, que operen basados en características del perfil y patrón transaccional del cliente bancario, de forma que advierta y actúe oportunamente ante situaciones sospechosas en al menos uno de los siguientes modelos de acción:
a. Preventivo. Detectando y disparando acciones de comunicación con el cliente por otras vías antes de confirmar operaciones.
b. Reactivo.Detectando y disparando acciones de comunicación con el cliente en forma posterior a la confirmación de operaciones sospechosas.
c. Asumido. Detectando y asumiendo la devolución de las sumas involucradas ante los reclamos del cliente por desconocimiento de transacciones efectuadas». Asimismo, las entidades deben implementar mecanismos de comunicación alternativa con sus clientes, a fin de asegurar vías de verificación variada ante la presencia de alarmas o alertas ocurridas dentro del monitoreo transaccional implementado».
A su vez, por la Comunicación BCRA «A» N° 7072 del 16.07.2020, «Sistema Nacional de Pagos. Transferencias», artículo 2.2.2.11: «Política ‘conozca a su cliente’ debe el Banco arbitrar recaudos especiales a tomar de manera previa a la efectivización de las transferencias, a los fines de continuar con la política de minimizar el riesgo, particularmente con respecto a las cuentas de destino que no habían sido previamente asociadas por el cliente/consumidor como originante de la transferencia a través de teléfonos celulares, en sede de la entidad financiera u otro mecanismo seguro.
Por la Comunicación BCRA «A» N° 7175 del 05.12.2020, «Sistema Nacional de Pagos. Transferencias». Sección 2, artículo 2.3. Responsabilidades de los participantes; 2.3.1, el Banco debe arbitrar los mecanismos de seguridad apropiados dentro de su competencia para asegurar la transmisión y recepción de las transacciones; como también tiene las siguientes responsabilidades: 2.3.2.8: Ofrecer herramientas de mitigación de fraude a sus participantes; 2.3.3.5: Utilizar herramientas de mitigación de fraude que permitan identificar patrones sospechosos, y alertar a los usuarios.
Y el 01.07.2021 el BCRA emitió la Circular A 7319 -vigente desde el 09.07.21- sobre «Requisitos mínimos de gestión, implementación y control de los riesgos relacionados con tecnología informática, sistemas de información y recursos asociados para las entidades financieras.Adecuaciones.». Por la misma se Incorpora como requisito técnico-operativo del proceso de monitoreo y control, que para la autorización de un crédito preaprobado la entidad debe verificar fehacientemente la identidad de la persona usuaria de servicios financieros involucrada. Esta verificación debe hacerse mediante técnicas de identificación positiva, de acuerdo con la definición prevista en el glosario y en el requisito técnico operativo específico (RCA040) de esas normas. El mismo establece que la identificación positiva incluye, pero no se restringe a la utilización combinada o no de las siguientes técnicas:
a. Cuestionarios predefinidos con presentación aleatoria, con validación automática del sistema.
b. Presentación de documentos de identidad emitidos por autoridad nacional que permitan la comparación y convalidación efectiva de las características del portador.
c. Firmas holográficas comparables con registro electrónico.
d. Identificación ante canal electrónico alternativo con doble factor de autenticación. Asimismo, la Circular dispone que se deberá constatar previamente a través del resultado del proceso de monitoreo y control, como mínimo, que los puntos de contacto indicados por el usuario de servicios financieros no hayan sido modificados recientemente y que una vez verificada la identidad de la persona usuaria, la entidad deberá comunicarle -a través de todos los puntos de contacto disponibles- que el crédito se encuentra aprobado y que, de no mediar objeciones, el monto será acreditado en su cuenta a partir de las 48 horas hábiles siguientes, pudiendo reducir el citado plazo de acreditación en el caso de recibirse la conformidad del usuario de servicios financieros de manera fehaciente.
Además de esta Circular el BCRA emitió las Circulares A 7326 del 08.07.2021 referida a Débitos Inmediatos y A 7328 del 12.07.2021 sobre Billeteras Digitales, sobre las que no me extenderé, pero que conforman una normativa para prevenir fraudes y delitos informáticos.
IV.IMPORTANCIA DE LA SITUACIÓN FACTICA Y DE LA PRUEBA PERICIAL
En un fallo reciente (7) se decidió un caso en que los actores demandaron al Banco por dos transferencias del 13.07.2011 realizadas desde su cuenta corriente de manera fraudulenta por medio del sistema llamado phishing a través de la banca on line. Como aclaración acoto que se conoce como phishing, a toda maniobra por la cual los delincuentes obtienen las claves informáticas de los clientes/consumidores bancarios. Afirmaron que las transferencias no fueron realizadas desde sus equipos informáticos, por lo que el fraude se produce sobre el sistema de seguridad del Banco, que no adoptó las medidas técnicas suficientes para evitar el daño, siendo que como entidad proveedora del servicio su responsabilidad es objetiva en la relación de consumo, frente a la parte más débil, los clientes actores.
El Banco reconoció como clientes a los actores y sus reclamos, pero manifestó que las operatorias fueron regulares a través de la banca I nternet, pues se ingresó al sistema la clave alfanumérica correspondiente y se utilizó correctamente un segundo factor de autenticación, consistente en dos pares de números de una tarjeta de coordenadas vinculada a la cuenta, de un total de ochenta y un pares de números.
Estos dos factores -dijo- eran conocidos solo por los actores, por lo que nada hacía presumir al Banco de una maniobra delictiva, insistiendo en las medidas de publicidad que ha dispuesto para prevenir estas maniobras ilícitas. No hubo en la maniobra otra actividad del Banco que tener la cuenta en la cual se produjeron los débitos y la pericia informática acreditó el correcto uso de la doble clave de validación, ingresadas en un primer intento y sin errores, lo cual fue suficiente para la camarista preopinante Dra. Alejandra N. Tevez, para tener por acreditado que el Banco cumplió con la conducta esperable de acuerdo a su especialización, no siendo razonable -dice- que desplegara accionar alguno respecto a estas transacciones, criterio al que adhirieron los Dres. Rafael F.Barreiro y Ernesto Lucchelli.
Hoy donde la pandemia y su consecuencia la cuarentena ha obligado a la mayoría del pueblo argentino a bancarizarse y desempeñarse en cajeros automáticos o por la banca internet y ante el aumento exponencial de las maniobras ilícitas ya mencionadas, nos preguntamos si resulta razonable adherir al criterio hermenéutico recién expuesto.
Consideramos que la respuesta debe ser negativa, no solo por créditos electrónicos, sino también por despojos de dinero en las cuentas de clientes/consumidores. Entendemos que la responsabilidad de los bancos ante las estafas electrónicas y/o telefónicas mediante la utilización de estudiados ardides resulta de la apariencia de confiabilidad del sistema brindado, en tanto es la propia entidad que ofrece e impone el uso de cajeros automáticos o banca de internet para las operatorias con los consumidores, incluso para la fácil obtención de préstamos, pues precisamente lucra con sus intereses y gastos, pero hace recaer en la parte más débil, el consumidor/cliente, las consecuencias de riesgos que debería haber prevenido.
Así es como las mismas en muchos casos, son posibles por no haber en los sistemas informáticos del banco, ninguna alerta para operatorias inusuales o sospechosas.A veces ni la cuantía de los montos extraídos, la inhabitualidad de los movimientos, o que nunca operaron los clientes/consumidores con esos destinatarios llama su atención, precisamente porque no han implementado, ninguna defensa informática, y solo se puede pensar que mayores recaudos, exigibles de acuerdo a normativas del BCRA, son desestimados por un ánimo de lucro, que no solo le evita costos al Banco, sino que favorece la venta de créditos que es su objeto comercial redituable por excelencia.
Pero asistimos desde hace más de 15 (quince) años al desarrollo de estas maniobras delictivas, por lo que las medidas de seguridad adoptadas, por lo menos hasta el 01.07.2021 fecha en que el BCRA emitió la Circular A 7319 -vigente desde el 09.07.21-, fueron insuficientes (8).
Por ello se han multiplicado acciones judiciales que persiguen con respecto a los préstamos electrónicos preaprobados su inexistencia o nulidad, y con relación a los despojos fraudulentos de sumas de dinero existentes en cuentas corrientes o de cajas de ahorro de los clientes/consumidores su reintegro, por haber incumplido su obligación de prevención del daño y de no dañar (art. 1710 CCyC). Los Bancos ante el incremento geométrico de este tipo de ilícitos, debieron interpelarse a sí mismos, si la normativa en buena fe y de acuerdo a las circunstancias no les imponía una obligación mayor que ser simples espectadores y solo publicitar advertencias.
La situación fáctica impuesta por la pandemia fue y todavía lo es, terrible.
No sintieron en ningún momento que estaban incumpliendo el deber genérico de prevención del daño y ya instalado, ante la multiplicidad de reclamos de sus clientes/consumidores víctimas de los ilícitos, no desarrollaron acciones positivas mayores que la simple advertencia por más publicidad que se le adicione, para evitar la magnitud de este daño social. Al no hacerlo han incurrido en una conducta antijurídica (art. 1717 CCyC), dando origen al deber de reparar (art.1716 CCyC). Para analizar la entidad de la culpa de la víctima, citaremos una vez más el precedente «Bieniauskas» (http://www.saij.gob.ar/), la Cámara siguió allí el criterio hermenéutico de la Corte Suprema de Justicia, para la cual la culpa debe revestir características de imprevisibilidad o inevitabilidad propias del caso fortuito o la fuerza mayor (CSJN 11.5.93 «Fernandez Alba O. el Ballejo Julio A y otra» La Ley 1993- E,472). Y la multiplicidad de estafas desplegadas en tiempos de pandemia han llenado cotidianamente los medios gráficos nacionales y provinciales, por no cumplimentar los bancos medidas de seguridad más acordes a los tiempos que vivimos. Esto dista mucho de considerar la existencia de un caso fortuito o una fuerza mayor para el Banco, en la actitud de la víctima.
Nos preguntamos ¿olvidan los Bancos su responsabilidad como entidades autorizadas por el Estado para tomar ahorros públicos, y el deber de custodia que tienen sobre los mismos, con los cuales lucran?
Ante esa inercia, han reaccionado autoridades administrativas.
Así la Dirección Nacional de Defensa del Consumidor y Arbitraje en Consumo, dependiente de la Secretaría de Comercio Interior de la Nación en el mes de junio de 2021 sancionó a los Bancos BBVA y Santander con multas de $ 5.000.000, máximo de la LDC por incumplir su obligación de garantizar la seguridad instituida en el art. 42 de la CN y reglada en el art. 5 de la LDC, que comprende entornos digitales.Dijo en esos casos que las operaciones que se realicen por medio de plataformas, aplicaciones, dispositivos o canales de atención -toda vez que son quienes los diseñan, organizan y controlan- deben ser seguras y prevenir riesgos y peligros, en los que puedan estar comprometidos la seguridad, los datos personales o los intereses económicos de los consumidores (www.argentina.gob.ar publicación del 24.06.2021).
Centrándonos nuevamente en los préstamos electrónicos preaprobados, la jurisprudencia masivamente ha dictado medidas innovativas suspendiendo los pagos de estos créditos por las víctimas de los ilícitos, clientes/consumidores bancarios (9).
Y creemos firmemente que estas acciones, con el debido respaldo pericial como veremos, prosperarán cuando se dicten las sentencias en procesos que son de breve trámite (art. 53 LDC).
Citaremos ahora el comentario de un fallo de un Juzgado de la Ciudad de Buenos Aires (10) que responde ciertas alegaciones de algún Banco que consideraba que hasta la Circular 7319 del BCRA no tenía obligación de implementar más controles que la doble autenticación por claves en los préstamos ya aludidos.
Se destaca allí que esta Circular fue de fecha posterior a los hechos, por lo que resulta novedosa la reflexión judicial, en cuanto dispone: «En nada modifica lo expuesto el hecho de que la Comunicación «A» 7319 tenga como fecha de entrada en vigencia el 9 de julio de 2021, ya que la misma pone en evidencia y viene a reconocer las problemáticas referidas a la gestión informática y de seguridad relacionados con el sistema de créditos preaprobados». Y dice la autora:«De esta manera, sienta postura en cuanto a la relevancia de esta reciente medida, que deviene como resultado de una ola de estafas virtuales y la necesidad de ajustar las medidas de seguridad de los bancos, que hasta la fecha no habían implementado cambios de este estilo para frenar los delitos y fue necesario el dictado de una normativa de la Autoridad de Contralor a tales fines». Compartimos ambas reflexiones, y por lo ya dicho concluimos en la responsabilidad de los Bancos.
Por ello y por resultar ilustrativo del estado actual de la cuestión, comentaremos brevemente, ya que algunos conceptos ya los hemos desarrollado precedentemente, el fallo precedente de la Sala Segunda de la Cámara Segunda Civil y Comercial del Departamento Judicial La Plata Pcia. de Buenos Aires en autos «S., D. R. el Banco de la Provincia de Buenos Aires», el que ya contaba con una muy buena sentencia de la Dra. María C. TANCO, Jueza a cargo del Juzgado de Primera Instancia en lo Civil y Comercial n° 19 de La Plata, y que resuelve una demanda por nulidad de contrato contra el Banco de la Provincia de Buenos Aires, por incumplimiento por parte de la entidad bancaria de las medidas indispensables para otorgar seguridad informática a las transacciones y requerimiento de multa civil.
El caso se juzgó bajo la regulación de la normativa del derecho del consumo y por ser el actor un adulto mayor, se afirmó que contaba con la protección de la Convención Interamericana sobre la Protección de los Derechos Humanos de las Personas Mayores, aprobada por la ley 27.360 y conforme la resolución 139/2020 de la Secretaría de Comercio era un consumidor hipervulnerable, tanto por su edad como por haber acreditado su discapacidad con el certificado pertinente al demandar.También fue un caso de «phishing», pero aquí se da la particularidad del momento en que suceden los hechos que fue durante la pandemia Covid19 y las distintas medidas de aislamiento decretadas, que intensificaron la utilización de medios electrónicos y distanció las actividades presenciales que usualmente se realizaban en las sucursales bancarias.
El perito informático dictaminó que la demandada, si bien cumple con las medidas de concientización, capacitación, a integridad y registro y gestión de incidentes, no cumple el monitoreo y control. Este último es un proceso relacionado con la recolección, análisis y control de eventos ante fallas, indisponibilidad, intrusiones y otras situaciones que afecten los servicios ofrecidos por los canales electrónicos, y que puedan generar un daño eventual sobre la infraestructura y la información. Pudo determinar que surgían del log de transacciones operaciones en las que se involucraban montos importantes que no recibieron el tratamiento que correspondía por su carácter de sospechosas o potencialmente fraudulentas. No cumple con el control de acceso, el cual es un proceso relacionado con la evaluación, desarrollo e implementación de medidas de seguridad para la protección de la identidad, mecanismos de autenticación, segregación de roles y funciones y demás características del acceso de los usuarios internos y externos a los canales electrónicos.
Tampoco verificaba fehacientemente la identidad de las personas que solicitan la acreditación de créditos preaprobados a través de canales electrónicos, mediante técnicas de identificación positiva para detectar la posibilidad de engaños de ingeniería social.
En suma, el perito observó una falta de medidas de seguridad como aquellas que poseen las grandes compañías tecnológicas y, dentro del rubro de la demandada, las entidades financieras importantes o mundialmente reconocidas.Así el sistema informático utilizado por la demandada permite en 24 horas obtener una clave, contraer préstamos, transferir a cuentas no vinculadas y con las que antes no se han efectuado transacciones, requerir un adelanto de haberes y todo por sumas importantes de dinero, sin las medidas de seguridad esperables y que garanticen un vínculo de confianza con sus clientes.
En función de ello se juzgó que el sistema de protección resultó insuficiente para prevenir e impedir maniobras fraudulentas y de allí se derivaron daños que se encuentran en conexión causal con el incumplimiento de esa obligación, condenando así a la entidad bancaria a hacer frente a la acción dirigida en su contra (arts. 5 y 40 de la ley 24.240 y 9 de la ley 25.326).
En la prognosis póstuma de lo acontecido en el caso la jueza y su Alzada, adhirieron a la teoría de la causalidad adecuada, concluyendo que la facilitación de los datos por el cliente fue condición del hecho dañoso, pero no causa. La causa no es cualquier condición sino aquélla que según el curso normal y ordinario de las cosas es idónea para producir un resultado debiendo regularmente producirlo y aquí la causa es la falta de seguridad en el sistema que el banco demandado puso a disposición del accionante. Entonces el hecho o culpa de la víctima -invocada por el banco- no reúne los requisitos para eximir de responsabilidad en cuanto no se trata de un hecho exterior ajeno a la actividad -a sus riesgos intrínsecos- y especialmente a la obligación de seguridad en cabeza del demandado (Arias, María P. – Müller, Germán E., «La obligación de seguridad en las operaciones financieras con consumidores en la era digital.Con especial referencia a la problemática del phishing y del vishing», JA 2021-111).
En función de ello consideramos acertada la admisión de la acción de nulidad planteada con relación al otorgamiento del préstamo y adelanto de haberes, cesando los efectos y las consecuencias generadas de estos dos negocios, debiéndose reintegrar a la cuenta del actor las sumas debitadas en razón de ellos y que se sumara a la condena una multa civil (art. 52 bis LDC).
En lo tocante con el daño punitivo dice el vocal preopinante Dr. Leandro A. Banegas, que no resulta adecuado que sobre el Banco recaiga todo el peso de la maniobra delictual pergeñada por terceros; y con base en un aparente criterio de equidad, disminuyó la multa a la mitad de la fijada en la anterior instancia.
No compartimos este criterio, precisamente las multas civiles que se impongan en este tipo de juicios, son las que llevarán a los Bancos a interpelarse si cumplen acabadamente en su sistema informático con su obligación de seguridad que es lo que esperan de ellos sus clientes/usuarios.
———-
(1) TORELLO, V. S. «La incorporación de normas del derecho informático en el CCyC» p. 192. Ap. 10. Fuentes de legitimación para la valoración por el juez de los documentos electrónicos. http://www.saii.gob.ar fecha consulta 09.05.22
(2) Cam. Nac. Com. Sala D, 15.05.08 «Bieniauskas, Carlos c/ Banco de la Ciudad de Buenos Aires. http://www.saij.gob.ar/fecha consulta 23.06.21.
(3) Cam. Nac. Com. Sala F, 15-05-2014 «Schapiro, Graciela c/Banco Itaú – Buen Ayre SA s/Ordinario» IJ Editores Fondo Editorial-IJ-LXXII-467. Muñoz Barda, G. «Deber de seguridad de las entidades bancarias. Implicancias de la aplicación de la Ley de Defensa del Consumidor. Comentario al fallo «Schapiro, Graciela c/Banco Itaú -Buen Ayre SA s/Ordinario» Revista Argentina de Derecho Comercial y de los Negocios – Número 11 – Diciembre 2014. Fecha: 02-12-2014 Cita: IJ-LXXIV-834.
(4) RINESSI, A. J.«La falta de regulación del deber de seguridad en el Código Civil y Comercial». La Ley 10.12.2014. LL2014-I, 1249 Cita: TR LALEY AR/DOC/3936/21014.
(5) ROSSI, J. O. «El deber de seguridad en el Código Civil y Comercial» y el Fallo «Arrequi» Revista del Colegio de Abogados de Morón- Microjuris 2.3.2018 Cita: MJ-DOC-12749 AR/ MJD 12749).
(6) SAIRES G. A. y HECTOR M. E. «La Defensa del Consumidor: Concepto y Encuadre legal actual». J.A. 1995-11 p. 931 y sste.
(7) Cam. Nac. Com. Sala F 28.12.20 «Cipriano Ricardo José y ot. d Banco Credicoop Coop. Ltdo. s/ Ordinario» LL 28.01.21 Cita on line AR/JUR/67810/2020.
(8) ARIAS M.P y MÜLLER, G. E. en «La obligación de seguridad en las operaciones financieras con consumidores en la era digital. Con especial referencia a la problemática del phishing y del vishing. (SJA 14.07.21, 43 Cita: TRLALEY AR/DOC/1657/2021) afirman: «Existen tres grandes grupos de sistemas de validación de identidad: basados en lo que sé (por ejemplo, claves), en lo que tengo (por ejemplo, tarjeta de coordenadas) o en lo que soy (por ejemplo, datos biométricos). Si se tomaran medidas adecuadas el hecho dañoso sería evitable. Por ello se admite que el uso de la biometría como método de validación estará ampliamente estandarizado en un futuro».
(9) De la Cámara Nacional de Apelaciones en lo Comercial, citaremos por todos y por su actualidad el de su Sala D «Moreda Alejandro Daniel el Banco Santander Rio SA s/ Medida Precautoria» del 09.09.21 (www.cij.gov.ar Buscador de Fallos), que dijo:«Reseñados los antecedentes del caso, la Sala juzga que los argumentos esgrimidos por el Banco recurrente no revisten entidad suficiente para modificar lo decidido en la instancia anterior y, por ende, el recurso no ha de prosperar, a) Cabe aquí recordar que uno de los presupuestos básicos para el favorable dictado de las medidas cautelares es la verosimilitud del derecho invocado; esto es, la exigencia de que el derecho del peticionario de la cautelar sea aparentemente verdadero; ya que su declaración de certeza sólo podría obtenerse eventualmente con el dictado del pronunciamiento definitivo. Sentado ello, del relato efectuado en el memorial surge que la demandada basó su defensa en que su sistema de seguridad informática no había fallado ni había sido vulnerado, y que habría sido el propio actor quien compartió involuntariamente los datos correspondientes a su clave y usuario de «home banking», facilitando de esa forma la comisión del ilícito en cuestión, razón por la que la presunta estafa no le sería imputable. Alegó, además, que de acuerdo con las condiciones contractuales que rigen el funcionamiento de la «Cuenta Única», el Banco se encuentra eximido de toda responsabilidad por la utilización de la clave de acceso por terceros para operar en la plataforma de «Online Banking».
Por todo ello, concluyó que no se encontraría acreditada la verosimilitud en el derecho. Ahora bien, sin soslayar que no es posible definir en este estadio embrionario del proceso la responsabilidad por el deber de cuidado sobre los datos personales y el sistema de seguridad bancaria que debe brindar la entidad emplazada, lo cierto es que de acuerdo con el relato efectuado en ocasión de promover la medida cautelar y los elementos de prueba acompañados por el pretensor -principalmente con la denuncia penal oportunamente efectuada respecto de la estafa alegada y el detalle del extracto bancario de la cuenta de su titularidad correspondiente al día 30.6.21-, la Sala juzga que, prima facie, el derecho invocado aparece verosímil.Lo expuesto, máxime teniendo en cuenta el carácter de consumidor que detenta el iniciante de la litis frente a la institución demandada, lo cual, en principio, impone una Interpretación favorable a sus intereses (arg. LDC, 3, segundo párrafo, y CN 42). En Igual sentido se ha pronunciado esta Alzada mercantil frente a casos sustancialmente análogos (esta Sala, 7.9.21, «Mendoza, Edgardo y otro c/Banco Santander Río S.A. s/ ordinario s/ incidente de apelación cpr 250»; id.,18.5.21, «Arco Elba Graciela el BBVA Banco Francés S.A. s/ ordinario s/incidente de apelación», CNCom., Sala A, 23.3.21, «Gómez, Hernán Ezequiel c/ Banco Santander Río S.A. s/ sumarísimo s/ incidente de medidas cautelares»; id., 4.5.21, «Carino Rodrigo Emmanuel c/ Banco BBVA Argentina S.A. si medida precautoria»; id., Sala F, 15.3.21, «Corvini, Alfredo Luis el BBVA Banco Francés S.A. si medida precautoria», id., 13.4.21 .«Gabrielich, Silvia Eliana d Banco Santander Río S.A. si medida precautoria»; id., 7.6.21, «Epifanio, Pablo Enrique c/ Banco BBVA Argentina S.A. s/ ordinario»), b) El cuanto al segundo recaudo que define la concesión de la medida, esto es, el peligro en la demora, señálase que en el caso es factible percibir los perjuicios que desde el plano económico le podría acarrear al accionante el devengamiento de las cuotas del cuestionado préstamo otorgado sin su consentimiento -vgr. ante una eventual mora por imposibilidad de pago-; de modo que a juicio de este Tribunal el peligro en la demora, en principio, también se encuentra acreditado y justifica la concesión de la medida cautelar solicitada».
(10) ABAD G. A. «Responsabilidad bancarla ante estafa electrónica. Medida cautel ar a favor del consumidor» 16.07.21. http://www.saij.gob.ar. Id SAIJ DACF 210130) Fallo comentado: Poder Judicial de la Ciudad de Buenos Aires, Secretaría n° 2 Oficina de Gestión Judicial en las Relaciones de Consumo. Juzgado n° 22 «C.R. c/Banco Macro SA si relación de consumo» 12.07.21.
(*) Abogado (UBA), escribano (UBA) en libre ejercicio de la profesión desde 1978.
(**) Abogada (UBA), en libre ejercicio de la profesión desde 1985. Mediadora desde 2009.
No hay comentarios:
Publicar un comentario