Este lunes se dictó una sentencia pionera en el país, que tiene que ver con las ciberestafas mediante la modalidad de phishing. Mediante un fallo sin precedentes, se condenó al Banco de la Provincia de Buenos Aires al pago de $ 600.000 por daños de un cliente que había sido engañado y a quien le habían pedido las claves bancarias para obtener un crédito y luego desviar los fondos.

La Justicia también estableció la devolución del monto de adelanto de haberes de $ 22.500 que se había hecho de la misma forma por los estafadores y declaró la nulidad del crédito de $ 650.000 que éstos lograron apropiarse. 

El fallo es el primero en esta materia que se realiza en el Departamento Judicial La Plata, y no se conoce que haya otro similar en el país, por lo que se convierte en precedente judicial. La decisión fue tomada por la jueza María Cecilia Tanco, titular del Juzgado Civil y Comercial Nro. 19 de La Plata.

La víctima en cuestión es Daniel Ricardo Suárez, un jubilado de  68 años víctima de “phishing”, al que le habían tomado créditos en su nombre y un adelanto de sueldo que el Banco de la Provincia pretendió cobrárselo. Respecto del fallo, el abogado patrocinante Marcelo Szelagowski, subrayó que la magistrada Tanco “dio un ejemplo de lo que espera la sociedad de parte de la Justicia, máxime en tiempos como los que corren en que se cuestiona a los jueces duramente”.

En los considerandos la Dra. Tanco subraya las conclusiones del perito informático en cuanto a que el Banco de la Provincia no cumple con las medidas de seguridad; exigidas por el BCRA, al resaltar:“…El perito pudo establecer una correspondencia entre las personas titulares de las cuentas de transferencia (destino) y las operaciones realizadas y registradas en el log de transacciones. Se pudo observar que existían tanto personas como direcciones IP que correspondían a la provincia de Córdoba, jurisdicción ajena a la demandada…”.

Y más adelante agrega:”… El perito informático dictaminó que la demandada, si bien cumple con las medidas de concientización, capacitación, a integridad y registro y gestión de incidentes, no cumple el monitoreo y control. Este último es un proceso relacionado con la recolección, análisis y control de eventos ante fallas, indisponibilidad, intrusiones y otras situaciones que afecten los servicios ofrecidos por los canales electrónicos, y que puedan generar un daño eventual sobre la infraestructura y la información. Pudo determinar que surgían del log de transacciones operaciones en las que se involucraban montos importantes que no recibieron el tratamiento que correspondía por su carácter de sospechosas o potencialmente fraudulentas”.

El fallo subraya que “tampoco cumple con el control de acceso, el cual es un proceso relacionado con la evaluación, desarrollo e implementación de medidas de seguridad para la protección de la identidad, mecanismos de autenticación, segregación de roles y funciones y demás características del acceso de los usuarios internos y externos a los canales electrónicos”.

Por otra parte la jueza prestó especial atención en que el actor es un cliente “hipervulnerable” y el cual “había sido víctima de maltrato por parte de la entidad al que ni siquiera habían respondido su reclamo en término". Por lo que definió que “…La causa es la falta de seguridad en el sistema que el banco demandado puso a disposición del accionante. Entonces el hecho o culpa de la víctima -invocada por el banco- no reúne los requisitos para eximir de responsabilidad en cuanto no se trata de un hecho exterior ajeno a la actividad -a sus riesgos intrínsecos- y especialmente a la obligación de seguridad en cabeza del demandado….”.

Asimismo, el fallo sostiene que “la falta de respuesta en tiempo de la entidad bancaria y el maltrato que sufriera por parte de la entidad, determinaron que no solo se anulara el préstamo, sino que se condenará al Banco demandado a la devolución del adelanto de sueldo y al pago de una multa de $ 600.000”.