El banco BBVA deberá devolverle $140 millones a
una PyME que sufrió una ciberestafa.
Un Tribunal de La Plata concluyó que el fraude fue posible por una vulneración
del sistema de seguridad de la entidad. De esa manera, resolvió que le cabe la
responsabilidad del hecho y la condenó a pagar una suma inédita y ejemplar.
El juez determinó que la entidad bancaria incumplió con su deber de seguridad
al no monitorear ni controlar adecuadamente las operaciones realizadas desde
la cuenta de la empresa, y la condenó a pagar casi 140 millones de pesos a la
víctima.
El monto, inédito en casos de seguridad bancaria, se compone, según el fallo,
del equivalente a 100 canastas básicas (al día de hoy son $103.371.600) por
incumplimientos en las medidas de seguridad de sus operaciones electrónicas, y
agrega la devolución de las sumas sustraídas a la pyme por medio de
transferencias fraudulentas ocurridas luego de la estafa.
El caso se remonta al 20 de marzo de 2023, cuando el socio gerente de Grupo
Logística Uno SRL, José Luis Aronna, intentó realizar una transferencia a un
proveedor a través del sistema de Homebanking del BBVA. Durante la operación,
la pantalla se congeló y, minutos después, la empresa descubrió que se habían
realizado 18 transferencias no autorizadas a cuentas de terceros por un total
de 39.999.342,29 de pesos y se había solicitado un préstamo no autorizado por
3.500.000.
Las transferencias fueron dirigidas a cuentas bancarias de personas y empresas
desconocidas, algunas de las cuales figuraban en una «lista negra» de cuentas
fraudulentas mantenida por el propio banco. La empresa denunció el hecho ante
la entidad y presentó una denuncia penal por defraudación informática, que aún
está en trámite.
¿Qué pasó y cómo tuvo lugar la estafa?
En el fallo, el perito informático determinó que la computadora de la empresa
estaba infectada con un malware. Al acceder al Homebanking para hacer una
operación de rutina, Aronna ingresó sus claves y el token necesario, como lo
hace habitualmente. Pero esa vez, la pantalla se le «tildó». A partir de ese
momento, el malware instalado capturó las credenciales.
De manera remota, los ciberdelincuentes que tenían control del malware,
obtuvieron la contraseña y token, y produjeron el vaciamiento de la cuenta
corriente bancaria: en menos de 30 minutos los lograron desviar
$39.999.342,29 mediante 18 operaciones fraudulentas a 17 cuentas bancarias
distintas y solicitaron el préstamo, que también transfirieron a cuentas
desconocidas.
Los argumentos del juez para dictaminar la responsabilidad del banco
En principio, el juez encuadró el caso dentro de una relación de consumo,
amparada por la Ley de Defensa del Consumidor (Ley 24.240), ya que el servicio
bancario no estaba destinado a integrarse en un proceso de producción, sino a
facilitar operaciones financieras cotidianas, como el pago a proveedores.
Además, se refiere a la
Circular «A» 7969 del Banco Central de la República Argentina, que establece estándares de protección para los usuarios de servicios
financieros, sin distinción entre personas físicas y jurídicas.
Este último es uno de los pilares del fallo: la obligación de seguridad que
pesa sobre el banco. El juez sostuvo que, al ofrecer servicios electrónicos
como el Homebanking, la entidad asume la responsabilidad de garantizar que
su sistema sea seguro y confiable.
El fallo señala que el banco no cumplió con esta obligación, ya que no
monitoreó ni controló adecuadamente las operaciones: por medio de una acción
de ingeniería social (en este caso un malware previamente instalado en la
computadora), ajena a la relación contractual entre las partes, un tercero
obtuvo los datos del actor y actuando con apariencia del titular de la cuenta,
pudo realizar 18 transferencias en menos de 30 minutos, de las cuales solo dos
fueron notificadas a través del sistema «challenge», que envía una alerta al
correo electrónico del cliente después de que la operación ya se realizó. Este
sistema no es preventivo, sino reactivo, lo que lo hace insuficiente para
evitar fraudes.
Además, autorizó transferencias a cuentas fraudulentas, algunas incluidas en
una «lista negra» de cuentas sospechosas. Esto demuestra una falta de control
y supervisión por parte de la entidad financiera.
La sentencia también afirma que el banco no implementó medidas de seguridad
adicionales: a pesar de conocer los riesgos asociados a los ciberdelitos, no
adoptó protocolos suficientes para proteger a sus clientes. El fallo
menciona que el banco no verificó adecuadamente la identidad del usuario
antes de autorizar las transferencias y el préstamo, lo que facilitó el
fraude.
En cuanto a la responsabilidad, el juez dijo que el banco ofrecía un servicio
electrónico que, por su naturaleza, está expuesto a riesgos como el fraude y
el malware. Por lo tanto, tenía la obligación de implementar medidas de
seguridad adecuadas para prevenir estos riesgos. Al no hacerlo, incurrió en
responsabilidad objetiva.
El banco argumentó que la empresa había actuado con negligencia al no proteger
su computadora con un antivirus y al facilitar sus datos a terceros. Sin
embargo, el juez rechazó estos argumentos. “El banco no tiene la obligación de
controlar las computadoras de los clientes, ni verificar si cuentan o no con
antivirus; pero sí está obligado con el usuario de un servicio financiero de
cuenta corriente bancaria a prevenir un daño en caso de vaciamiento de una
cuenta. Y la prevención no se brindó”, consideró.
En su respuesta, el banco brindó los siguientes argumentos:
-
No hay pruebas de que la víctima haya facilitado sus datos: no se demostró
que la empresa hubiera compartido sus claves de acceso o que hubiera actuado
con ligereza. El juez destacó que el banco no aportó pruebas concretas para
sostener esta defensa. -
No puede trasladar su responsabilidad al cliente: aunque reconoce que la
entidad advierte activamente a sus clientes sobre la importancia de proteger
sus dispositivos, esto no la exime de su obligación de garantizar la
seguridad de sus sistemas y no puede desentenderse de los riesgos asociados
a su actividad y hacer recaer toda la responsabilidad en el cliente.
El perito informático designado en el caso determinó que el banco no
cumplió con dos deberes clave:
-
Deber de monitoreo: el banco no supervisó adecuadamente las operaciones
realizadas desde la cuenta de la empresa, lo que permitió que se llevaran a
cabo transferencias a cuentas no habituales y sospechosas. -
Deber de control: el banco no implementó mecanismos eficaces para detectar y
prevenir operaciones fraudulentas, como la verificación de la identidad del
usuario antes de autorizar transferencias o préstamos.
Un fallo ejemplificador y su impacto en la banca
El juez estableció una multa sin precedentes con el objetivo de incentivar a
las entidades bancarias a reforzar sus políticas de ciberseguridad.
«El banco ofrecía un servicio electrónico que, por su naturaleza, está
expuesto a riesgos como el fraude y el malware. Por lo tanto, tenía la
obligación de implementar medidas de seguridad adecuadas para prevenir estos
riesgos», sostuvo De Oliveira.
Fuente:
TN