Noticias

sábado, 3 de diciembre de 2022

Banco es responsable por el cliente que siendo engañado entrega contraseñas

 Un fallo responsabiliza al banco por la estafa telefónica sufrida por un cliente, maniobra conocida como “phishing” ("fishing"-pesca- y "password"-contraseña-que alude a que una persona muerde el anzuelo brindando su contraseña)



Publicado el 17-2-2022

Fecha del Fallo: 14-2-2022

Partes: SUAREZ DANIEL RICARDO C/ BANCO DE LA PROVINCIA DE BUENOS AIRES S/ NULIDAD DE CONTRATO (DIGITAL)

Tribunal: Juzgado de Primera Instancia en lo Civil y Comercial n° 19 de La Plata



(parcial) LA PLATA, catorce de febrero de 2022. Y VISTO: este expediente "Suarez, Daniel Ricardo c/ Banco de la Provincia de Buenos Aires", en trámite por ante el Juzgado de Primera Instancia en lo Civil y Comercial n° 19 de La Plata, a mi cargo, de los que, RESULTA:


 1) El 6/10/2020 Daniel Ricardo Suárez, por su propio derecho y con el patrocinio letrado del Dr. Marcelo Víctor Szelagowski, promovió demanda por nulidad de contrato contra el Banco de la Provincia de Buenos Aires. Explicó que era jubilado de Astilleros Río Santiago y el día 21 de septiembre de 2020 recibió un llamado de una persona que se presentó como Ariel Dante Martínez como gerente de Telefonía Internacional 4 G informándole que había sido beneficiado con un sorteo por un premio de $ 50.000.- y 2 celulares 4G. La suma le sería depositada en su cuenta para lo cual debía concurrir al cajero, lugar en el cual ellos le dieron un PIN y obtuvo un número de Token, el cual el dicente les facilita para que le realizaran el depósito. El día 25/9/2020 recibió otro llamado manifestándole que no habían podido realizar el depósito total, y que necesitaban otra tarjeta, que podía ser de un allegado. Cumplido eso, concurre al cajero y advierte que su tarjeta se encontraba bloqueada. Frente a esa situación concurrió a la sucursal de Berisso del banco demandado y en los movimientos advierte que no existía el depósito y que existía una acreditación de $ 650.000.-, y transferencias por la suma de $ 215.000.- a favor de Jorge Rivadero; otras tres transferencias y una acreditación por adelanto de haberes por $ 22.500.-. El 28/9/2020 formuló denuncia penal (IPP 06-00-032685-20(00) y el 29/9 efectuó denuncia administrativa por ante el demandado. Allí se le informó que tendría que hacerse cargo de la suma de $ 650.000.-, todo lo cual le generaba una situación de incertidumbre. Solicitó se le confiriera al presente el trámite sumarísimo en los términos de la normativa de defensa del consumidor y se extendió en la configuración en el caso del supuesto de "phishing" en función de incumplimiento por parte de la entidad bancaria de las medidas indispensables para otorgar seguridad informática a las transacciones, a lo que agrega la deficiente información brindada al consumidor y la mala atención en le sector de créditos del banco. Pidió el dictado de una medida cautelar que suspendiera los descuentos ínterin tramitara el proceso. Y en lo atinente al objeto del proceso, requirió el dictado de una sentencia que decretara la nulidad del contrato de consumo volviendo las cosas al estado anterior; la repetición de la suma de $ 22.500.- injustamente debitada de su cuenta; con más la fijación de un daño punitivo …………….Se efectivizó el traslado de la demanda, presentándose el Dr. Gustavo Resches el 23/12/2020 como apoderado del Banco de la Provincia de Buenos Aires. Formuló, primeramente, negativas particulares. Seguidamente explicó que …………el accionante ha reconocido que realizó esas transacciones por instrucciones de terceros, en violación al Reglamento de Cajero Automático Bapro. Es así que facilitó su tarjeta de débito y sus claves del cajero a un tercero desconocido. Por lo tanto ha sido la propia torpeza del Sr. Suárez la generadora de los daños y por ende interrumpe la cadena de causalidad en la responsabilidad de su mandante. Dio cuenta de la normativa del BCRA aplicable y las campañas emprendidas por el banco como acciones preventivas y la información puesta a favor de los consumidores. ………….CONSIDERACIONES: ……… la materia que integra se encuentra bajo la regulación de la normativa del derecho del consumo. ……………… el sistema jurídico de protección del consumidor vigente en Argentina, encuentra hoy un campo de aplicación preponderante y urgente, en relación a los proveedores y responsables de servicios financieros y bursátiles. ………….. Agregaré a lo hasta aquí señalado que al momento de los hechos el Sr. Suárez tenía 68 años. Por ende contaba -y cuenta- con la protección de la Convención Interamericana sobre la Protección de los Derechos Humanos de las Personas Mayores, aprobada por la ley 27.360 (9/5/2017). …….. Asimismo la resolución 139/2020 de la Secretaría de Comercio estableció que se consideran consumidores hipervulnerables, a aquellos consumidores que sean personas humanas y que se encuentren en otras situaciones de vulnerabilidad en razón de su edad, género, estado físico o mental, o por circunstancias sociales, económicas, étnicas y/o culturales, que provoquen especiales dificultades para ejercer con plenitud sus derechos como consumidores. ………… El 11/7/2021 presentó su informe el perito Licenciado en Informática Martin Sebastián Correa. Explicó que verificó en el log que las operaciones se realizaron desde la cuenta de la parte actora hacia tres cuentas bancarias, identificadas con sus respectivas Claves Bancarias Uniformes (CBU), a saber: 0070076430004122449270, 0140184003520150902025 y 0140093903700252294561. En relación a los cajeros, el perito pudo verificar en los registros de la demandada, que se generó 2 (dos) veces el token BIP en el cajero ubicado en el Banco Provincia Anexo Operativo, situado en Montevideo 202 esquina calle 4, de la Localidad de Berisso ……… Se pudo observar que existían tanto personas como direcciones IP que correspondían a la provincia de Córdoba, jurisdicción ajena a la demandada. Concluyó que: 1) el Sr. Suarez, no tenía generado BIP Token previo a la maniobra, el mismo fue generado por él mismo. 2) BIP Token fue generado en cajero automático (ATM) con la tarjeta 4398189309482019 a nombre del Sr. Suarez, en dos oportunidades …..A su turno -3/8/2021- presentó su informe el perito Contador Juan Manuel Nardelli Castroviejo ……… Adjuntó al informe el detalle del movimiento de la cuenta 0013-5033 003-5187850 de titularidad de Daniel Ricardo Suárez ……… La demandada ha invocado el hecho o culpa de la víctima, indicando que de acuerdo al relato realizado al momento de demandar ha sido el propio Sr. Suárez quien brindó sus claves a desconocidos, posibilitando la maniobra fraudulenta que en definitiva fundamenta su demanda. ……… El "phishing" es un término utilizado por los especialistas en informática para denominar una conducta ilícita que puede ser encuadrada en el campo de las denominadas estafas informáticas y que se comete mediante el uso de la ingeniera social en la que existe algún tipo de manipulación con un anzuelo -premio en el caso que nos ocupa- y una pesca -entrega de claves-. Este nombre proviene, según alguna teoría, de la combinación del vocablo "fishing" -pesca- y "password" -contraseña- y alude a que una persona muerde el anzuelo brindando su contraseña. ……… Se trata, además, de una maniobra que ha tomado gran preponderancia dentro de los distintos supuestos de cibercriminalidad incrementados a partir de la pandemina Covid19 y las distintas medidas de aislamiento decretadas………….. El perito informático dictaminó que la demandada, si bien cumple con las medidas de concientización, capacitación, a integridad y registro y gestión de incidentes, no cumple el monitoreo y control. ……. Continuó señalando que tampoco cumple con el control de acceso, el cual es un proceso relacionado con la evaluación, desarrollo e implementación de medidas de seguridad para la protección de la identidad, mecanismos de autenticación, segregación de roles y funciones y demás características del acceso de los usuarios internos y externos a los canales electrónicos. El Informático Correa ha hecho mención a la comunicación A 7319 del BCRA del 1/7/2021 que estableció la obligatoriedad de mecanismos que se encontraban implementados desde hacía varios años en los canales electrónicos de otras entidades financieras y bancarias, pero que la demandada aún no había establecido a la fecha los hechos. Se regula allí la obligación que tienen las entidades financieras de verificar fehacientemente la identidad de las personas que solicitan la acreditación de créditos preaprobados a través de canales electrónicos y esa verificación deberá hacerse mediante técnicas de identificación positiva, lo que refuerza la obligación que ya tiene la entidad financiera de detectar la posibilidad de engaños de ingeniería social. ………... La comunicación A 6878 del BCRA (24/1/2020) establece en el punto 3.8.5. que con relación a la apertura y el posterior mantenimiento de la cuenta deberán basarse en medidas de debida diligencia especial de identificación del cliente establecidas por la UIF en la Resolución N° 4/17. Y que la debida diligencia especial al inicio de la relación comercial no exime a las entidades financieras intervinientes de realizar el monitoreo y seguimiento de las operaciones durante el transcurso de dicha relación con un enfoque basado en riesgo (EBR). "Las entidades deberán prestar atención al funcionamiento de las cuentas con el propósito de evitar que puedan ser utilizadas en relación con el desarrollo de actividades ilícitas. Deberán adoptarse normas y procedimientos internos a efectos de verificar que el movimiento que se registre en las cuentas guarde razonabilidad con las actividades declaradas por los clientes." La comunicación A 6664 del 5/4/2019 estableció, además, que usuarios de servicios financieros tienen derecho a la protección de su seguridad e intereses económicos; a recibir información adecuada y veraz acerca de los términos y condiciones de los servicios que contraten, así como copia de los instrumentos que suscriban; la libertad de elección; y condiciones de trato equitativo y digno. Los sujetos obligados deberán adoptar las acciones necesarias para garantizar estos derechos a todos los actuales y potenciales usuarios de los servicios que ofrecen y prestan, de manera de asegurarles condiciones igualitarias de acceso a tales servicios. Así entonces, resulta de relevancia la conclusión del perito Correa en cuando a que observó una falta de medidas de seguridad como aquellas que poseen las grandes compañías tecnológicas y, dentro del rubro de la demandada, las entidades financieras importantes o mundialmente reconocidas. Advierte que la demandada no alinea la misión del área de Tecnología Informática (TI) con los objetivos planteados para la entidad. El sistema informático utilizado por la demandada permite en 24 horas obtener una clave, contraer préstamos, transferir a cuentas no vinculadas y con las que antes no se han efectuado transacciones, requerir un adelanto de haberes y todo por sumas importantes de dinero, sin las medidas de seguridad esperables y que garanticen un vínculo de confianza con sus clientes. ……… Entonces ¿es razonable pensar que en el marco de esa relación contractual existan créditos pre-aprobados que se encuentran a tan solo un click?. Si vemos los movimientos de cuenta del Sr. Suárez podemos advertir que el monto recibido era casi 10 veces lo que el percibe como jubilación. ………..Sabido es que la actividad que desarrolla el banco resulta ser riesgosa a tenor de lo normado por el art. 1757 del Código Civil y Comercial en tanto se incorpora el riesgo empresario que resulta de una actividad económica y que se configura por una conjunción de acciones, conductas, operaciones o trabajos desarrollados por una persona, empresa u organización económica, en las cuales el riesgo se deriva de tareas, servicios, productos o prestaciones y que generan para sus dueños o beneficiarios un provecho generalmente económico ……….Es esperable que una entidad bancaria de la envergadura de la demandada adopte una conducta en la cual pondere los riesgos previsibles, con el objeto de proteger a los usuarios. Y si se configura una relación de consumo, de allí también se deriva, en forma asociada, la obligación de seguridad que integra el contrato que tienen ambas partes y por lo tanto existirá obligación de responder si se incumplió con esa previsión legal que se deriva del tipo de servicio prestado (art. 42 de la C.N., CSJN fallos 329:646). ………..En ese cuadro de situación, ¿cuál es la incidencia que tiene la actuación del Sr. Suárez facilitando sus datos a terceras personas? No advierto que la actividad fraudulenta esté conectada con el hecho de que el usuario haya brindado sus datos, sino en la falta de medidas hábiles para asegurarse la identidad del usuario y sumar a ellos sistemas de alerta por la existencia de movimientos inusuales por fuera de los patrones habituales del consumidor. Entonces podemos señalar que la facilitación de los datos fue condición del hecho dañoso, pero no causa. ……….… valorando la gravedad del hecho; la afectación producida sobre la cuenta en la que se le depositan los haberes jubilatorios del accionante con una bancarización obligatoria; la actuación posterior del banco demandado; las gestiones que debió realizar el actor en forma extrajudicial, la denuncia penal (IPP 06-00-032685-20, oficio 24/5/2021), y finalmente este proceso civil; los daños punitivos resultan procedentes (arts. 8 bis y 52 bis de la LDC; SCBA LP C 122044 S 21/08/2019). …….. F A L L O: 1) Admitir la demanda que por nulidad de contrato y daños promovió DANIEL RICARDO SUAREZ contra el BANCO DE LA PROVINCIA DE BUENOS AIRES. 2) Decretar la nulidad de los contratos de préstamo y adelanto de haberes, cesando los efectos y las consecuencias generadas en función de estos negocios y debiéndose reintegrar a la cuenta del actor cualquier suma que haya sido debitada en razón de ellos. 3) Condenar a la demandada a pagar al actor en el plazo de diez días de la que la presente adquiera firmeza, en concepto de daños punitivos, la suma de Pesos seiscientos mil ($ 600.000.-), con más los intereses a la tasa pasiva más alta que establece el Banco de la Provincia de Buenos Aires a liquidarse desde que esta sentencia se encuentre firme y se haya vencido el plazo aquí dado para su cumplimiento. 4) Imponer las costas al demandado. 5) Diferir la regulación de honorarios para la oportunidad en que la presente adquiera firmeza y se encuentre establecida la cuantía económica del proceso (arts. 23 y 51 de la ley 14.967). REGISTRESE. Notifíquese en los términos del Acuerdo 4013 a los domicilios colocados al pie. MARIA CECILIA TANCO JUEZA El presente ha sido firmado digitalmente (arts. 288 del C.C.C.N. y 3 de la ley 25.506)///

No hay comentarios:

Publicar un comentario