Phishing bancario: fallo puso la responsabilidad en la entidad financiera

Un correo electrónico que simuló provenir del banco desencadenó una secuencia de operaciones que terminó con cuentas vaciadas en pocos minutos. A partir de ese hecho, la Cámara Civil de Cipolletti estableció que las entidades financieras deben responder por este tipo de fraudes y atribuyó la responsabilidad total al banco.

La maniobra se desarrolló con rapidez. Tras el engaño, se registraron cambios en los datos de la cuenta, se habilitó un nuevo sistema de validación y se realizaron múltiples movimientos: transferencias internas, venta de moneda extranjera y, finalmente, el envío del dinero a una cuenta de terceros.

Cuando el caso llegó a la primera instancia, el juez analizó la secuencia y consideró que existieron responsabilidades compartidas. Señaló que el acceso a las cuentas resultó posible por la entrega de datos personales, pero también advirtió que el banco no detectó a tiempo una serie de operaciones inusuales. Con ese criterio, distribuyó la responsabilidad en partes iguales y fijó una reparación parcial.

Esa decisión fue cuestionada por ambas partes y el expediente llegó a la Cámara. Allí, el tribunal volvió a revisar la prueba, en especial los registros informáticos. Esos datos mostraron que todas las operaciones se realizaron con usuario, contraseña y validación mediante token, sin fallas técnicas en el sistema.

Sin embargo, la Cámara consideró que ese punto no resultó determinante. El análisis se centró en el funcionamiento del sistema de banca digital y en las obligaciones de las entidades financieras. El tribunal sostuvo que este tipo de servicios implica riesgos propios, entre ellos las maniobras de ingeniería social como el phishing.

Desde esa perspectiva, el foco se trasladó a la respuesta del sistema frente a lo ocurrido. En pocos minutos se sucedieron operaciones relevantes y atípicas: modificación de datos, generación de nuevas validaciones y transferencias de importancia. A pesar de esa secuencia, no se activaron alertas ni controles adicionales.

El fallo retomó criterios del Superior Tribunal de Justicia (STJ) sobre el deber de seguridad. Señaló que los bancos deben contar con mecanismos de monitoreo capaces de detectar operaciones sospechosas y verificar la identidad del usuario en situaciones fuera de lo habitual.

En ese marco, la Cámara consideró que la maniobra no constituyó un hecho ajeno al sistema, sino un riesgo propio de la actividad bancaria digital. Indicó que este tipo de fraudes son previsibles y que las entidades deben adoptar medidas adecuadas para evitarlos.

Con ese razonamiento, el tribunal modificó la sentencia de primera instancia. Dejó sin efecto la distribución de responsabilidades y atribuyó la totalidad al banco. También ordenó la restitución completa de los fondos y mantuvo la indemnización por daño moral sin reducción.

La sentencia identificó como responsable a la entidad Banco Patagonia S.A., a quien condenó a restituir los fondos y afrontar las consecuencias del caso.