fbpx

#Fallos Phishing: Ante la vulnerabilidad del sistema informático del banco, se le ordena devolver a la clienta la suma de $100.000 sustraídos de su cuenta

Partes: N. M. F. c/ Banco de Formosa S.A. s/ medida autosatisfactiva

Tribunal: Cámara de Apelaciones en lo Civil y Comercial de Formosa

Sala / Juzgado / Circunscripción / Nominación:

Fecha: 11 de agosto de 2022

Colección: Fallos

Cita: MJ-JU-M-138213-AR|MJJ138213|MJJ138213

Voces: PROTECCIÓN DEL CONSUMIDOR – PHISHING – BANCOS – MEDIDA AUTOSATISFACTIVA – OBLIGACIÓN DE SEGURIDAD – CAJA DE AHORRO – INTERESES

Ante un hecho de phishing y la vulnerabilidad del sistema informático del banco, se ordena a la entidad devolver la suma de dinero sustraída al cliente.

Sumario:
1.-Corresponde admitir la medida autosatisfactiva y ordenar al banco la devolución de una suma de dinero en la caja de ahorro de la actora, ya que la entidad no ha desvirtuado la vulnerabilidad del sistema informático, sumado a la falta de relación existente entre los datos originarios registrados por la actora en su anterior Homebanking los que no guardaban ninguna relación con los nuevos datos ingresados, extremo que por sí solo denota la ausencia de seguridad suficiente ante una señal que debió advertirse para evitar la migración sucedida en forma inmediata al nuevo Homebanking habilitado.

¿Aún no estás suscripto a Microjuris? Ingresá aquí.

2.-La ausencia de prueba sobre la existencia en su sistema de mecanismos de encriptación de robustez reconocida internacionalmente sella la suerte del recurso teniendo presente las normas y requisitos establecidos por el BCRA en su carácter de regulador del funcionamiento de los bancos comerciales y en los términos del art. 21 de la Ley 21.526, mediante la cual emitiera diversas comunicaciones y enumeración de obligaciones de las entidades bancarias en miras a garantizar la efectiva protección de los intereses económicos de los usuarios en operaciones de servicios financieros, lo que da cuenta del interés de dicha entidad por prevenir situaciones como las aquí analizadas.

Fallo:
FORMOSA, ONCE DE AGOSTO DEL AÑO DOS MIL VEINTIDÓS.-

V I S T O:

Estos autos caratulados: «N., M. F. C/ BANCO DE FORMOSA S.A. S/ MEDIDA AUTOSATISFACTIVA» -Expte. Nº 12.551/22, registro de Cámara-, venidos del Juzgado de Primera Instancia Civil y Comercial Nº 5, de la Primera Circunscripción Judicial, con asiento en esta ciudad, puestos a conocimiento de la Sala II -Año 2022- de esta Excma. Cámara de Apelaciones en lo Civil y Comercial de la Provincia de Formosa; y,

CONSIDERANDO:

Que, a páginas 37/40 vta., se dictó el Auto Interlocutorio Nº 231/22 que resuelve:

1.- HACER LUGAR A LA MEDIDA AUTOSATISFACTIVA promovida por la Sra. N., M. F. contra el BANCO DE FORMOSA S.A., y en consecuencia, ordenar a este último que en el plazo máximo de 48hs. proceda a restituir a la Sra, N., M. F. la suma de pesos cien mil ($100.000) debiendo acreditar dicha suma en la caja de ahorro de la misma, perteneciente al CUIL . 2.IMPONIENDO las costas a la parte demandada de acuerdo al principio objetivo de la derrota (art. 68 del CPCC). 3.- REGULAR los honorarios profesionales de la Dra. Sara Natalia González, en la suma de PESOS VEINTE (20) JUS, con mas lo que corresponda de conformidad a la categoría tributaria a la que pertenezca (art. 43-Ley 512), Córrase vista a la DGR. REGISTRESE, .»

Contra dicha resolución, a pág. 46 el Dr. Carlos G. Trujman, apoderado de la demandada Banco de Formosa S.A. con patrocinio letrado, interpuso recurso de apelación, concediéndose el mismo a pág. 49, en relación y con efecto devolutivo, obrando a págs. 50/55 el memorial, del cual se dispone su traslado a la actora (pág. 56) y no habiendo sido contestado por la misma, se le da por decaído el derecho dejado de usar (pág. 57) elevándose las actuaciones a esta Alzada, dictándose a pág. 59 la providencia que dispone la vista de las actuaciones al Fiscal de Cámara conforme art.75 de la Ley 521 y 52 de la Ley N.º 24.240, lo que resulta cumplimentado a pág. 59 vta.

A pág. 60/61 obra dictamen de la Sra. Fiscal de Cámara N.º 2 el que básicamente concluye con la aplicación al caso de la Ley Consumeril y los principios rectores aplicables en virtud de la misma; por lo que los Autos quedan así en estado de resolver.

Que la recurrente expresa en su primer agravio que se ha resuelto haciendo lugar a la medida autosatisfactiva partiendo de la base de presunciones y conjeturas alegadas por la actora que, a su criterio jamás fueron probadas en autos, por lo cual entiende que el A quo se extralimitó en sus funciones al dictar la resolución cuya parte pertinente transcribe.

Resalta que la medida autosatisfactiva requiere una fuerte probabilidad de que lo pretendido por el solicitante sea atendible y no la mera verosimilitud, como considera que se puede apreciar de la simple compulsa de los autos en que fue dictada tomando como base la versión de la actora solicitando a la entidad bancaria, el 6/04/22, la producción y presentación de un informe pormenorizado en 24 hs.; en el que su parte manifestó, entre otros detalles técnicos, que para los registros de la entidad la operación solo pudo ser realizada con los datos de Usuario y Clave que se encuentran en custodia exclusiva de su titular, factores de validación, etc., por lo que considera que la resolución impuesta a su parte sin siquiera una caución y con imposición de costas lesiona su derecho de defensa.

Afirma que para hacer lugar a la medida, el A quo debió actuar con total prudencia en su análisis de viabilidad ya que el dinero despojado por el supuesto ilícito denunciado no puede ser restituido hallándose en sede penal en plena etapa de instrucción la denuncia formulada por la propia actora; por lo que insiste con la carencia de certeza sobre los hechos acaecidos.

Describe extensamente las características excepcionales de la medida; la ausenciade certeza y demás presupuestos agregando que según las pruebas aportadas por la denunciante nada surge respecto de la pretensión desde que no se encuentra probado que las operaciones denunciadas hayan sido concretadas por un problema de seguridad de la entidad bancaria representada; que no ha habido fallas de seguridad acreditadas de las cuales surja que la actora haya sido despojada de su dinero; y que esas cuestiones o supuestas fallas puedan ser atribuibles a terceros, a un error del usuario o a integrantes de su entorno íntimo o cadena de custodia de sus credenciales personales; agregando que con la causa penal en progreso tampoco está establecido el nexo causal por el cual la actora haya sido víctima de un eventual fraude cibernetico asegurando que en esas condiciones sería la actora la única responsable por la divulgación de las claves y sms token para operar con su Home Banking, todo lo cual a su entender vulnera el art. 323 bis (tal el mencionado) del C.P.C.C. pues existen otras vías de mayor amplitud probatoria mas allá de que el banco no realizó conducta contraria a derecho.

Insiste con el estado inicial del proceso penal lo que agrega desconcierto legal a la causa.

En cuanto al segundo agravio cuestiona que la juez de grado haya acordado responsabilidad a su representada por incumplimiento del deber de seguridad, afirmación que considera irreal dado la actividad altamente regulada que desempeña el banco máxime en relación a la Comunicación «A» 5990 de fecha 14/06/16 del Banco Central de la República Argentina que dispone que será comprobante de la operación su registro en el resumen periódico al utilizar como método de validación la autenticación fuerte -doble -2factor-, es decir dos elementos de las credenciales de distinto factor.La de autenticación que son las credenciales utilizadas en los CE (contraseña, dato personal etc.) que es un factor que se sabe y otro que es el que se tiene (tarjeta, token etc.) cuya responsabilidad de uso y custodia es del usuario.

Invoca los términos y condiciones del Home Banking insertos en la página web que identifica lo que debe ser conocido por la usuaria conforme art. 8 del C.C.C.N. concluyendo nuevamente que no hubo responsabilidad de su representada por la utilización, manipulación y o posible sustracción de los datos de generación cuya custodia y responsabilidad están a cargo de la actora.

En relación al tercer agravio reitera su desacuerdo con la imputación de responsabilidad objetiva en torno al art. 40 de la Ley de Defensa al Consumidor, transcribiendo párrafos del fallo cuestionado y afirmando que en el mismo no se ha determinado con claridad cual fue la conducta de su parte prestada en forma defectuosa ya que a su entender no está probado que el banco no cumplió con las obligaciones de seguridad o que ellas resulten insuficientes en tanto tales afirmaciones solo han sido establecidas en forma general en la resolución que se cuestiona, imputándose el facilitamiento de la oportunidad cuando en el informe técnico brindado se ha demostrado que los recaudos son acordes a lo establecido por el BCRA.

Alega que el posible delito del que podría haber sido víctima la actora deberá eventualmente ser tipificado por el juez de instrucción y podría encuadrarse en la modalidad de pesca de datos privados y confidenciales de usuarios por medios electrónicos sean mail de casillas que simulan páginas oficiales, link de acceso desde redes sociales, páginas falsas, lo cual requiere la participación de la víctima y tiene por objeto suplantar la identidad digital del usuario pues la clave de Home Banking no es el único objeto por lo que debe tenerse en cuenta que la operatoria fraudulenta en sí misma excede la relación banco-cliente.

Recuerda que en los casos deresponsabilidad objetiva y frente a la constatación del daño la obligación de resarcir en cabeza del proveedor es automática salvo fuerza mayor o culpa de la víctima. En el caso el banco pone a disposición un sistema que debe utilizar el usuario con su clave personal que corresponde a su cuenta y la recomendación de que las mismas sean preferentemente intransferibles recomendando además, pues no puede imponerse, un conjunto de medidas de seguridad como ser el no uso de IP o equipos públicos para operar; no ingresar a link desde redes sociales, ni mail ni aportar datos por

WhatsApp hechos que podrían integrar las líneas e hipótesis de investigación de la Instrucción y que no pueden ser dejados de lado en el análisis de la responsabilidad atribuida y apelada.

Cuestiona que se impute al banco el facilitamiento de oportunidades cuando en el informe técnico remitido se demostró los recaudos exigidos por el BCRA y segundos factores de validación de datos realizados y también la confirmación de la transferencia que se encontraba operativa.

Por último, se queja de que la resolución apelada haya ordenado el reintegro del importe del conflicto e imposición de costas sin surgir palmariamente que la conducta de su representada haya dado lugar a la reclamación, por lo que solicita se haga lugar al recurso interpuesto revocándose el Auto Interlocutorio Nº 231/22. Efectua reserva del caso federal.

Que así interpuesto el recurso resulta preliminarmente esencial destacar que el apelante no desconoce que la actora es cliente de la entidad bancaria demandada; que tiene

habilitada una caja de ahorro-sueldo y que se realizó en fecha 31/03/22 a las 18:30:23 hs. una carga de datos registrados como mail .@gmail.com y un número de celular . Que a las 18:33:21, de la misma fecha, se efectuó un cambio de clave y a las 18:55 hs.una transferencia a terceros por canal web por la suma de pesos cien mil (100.000) importe que fue transmitido a la cuenta de destino a nombre de . CUIT . CVU de Mercado Pago ,,,,,,,,; en tanto entre las 23:03 hs. y las 23:25 se realizaron otras operaciones tales como obtención inf. Personal-envío de código de verificación-actualización de teléfono y mail introducidos desde la IP ., datos cargados desde el celular ., mail: .@ hotmail.com; extremos todos afirmados, acreditados y meritados en la resolución cues tionada y que no han sido objeto de agravio alguno, más allá del genérico cuestionamiento y negativa de responsabilidad de la entidad bancaria recurrente.

Sobre dicho presupuesto, y dado que la apelante reiteradamente afirma que no se encuentra acreditado de modo alguno haber incurrido en falta al deber de seguridad, no resulta ocioso tener presente que respecto de los hechos, movimientos y cambio de clave devenidos con antelación a la transferencia objeto del despojo invocado por la actora, ningún aporte probatorio que sustente las medidas de seguridad que le son impuestas ha efectuado la entidad bancaria accionada que, sin dudas, se encuentra en mejores condiciones de acreditarlos teniendo en cuenta su base de datos. Sobre el punto es dable tener presente, como lo tiene dicho este Excmo. Tribunal, que nuestro articulo 232 bis del C.P.C.C. en su última parte expresa: «E) El legitimado para contradecir una medida autosatisfactiva ordenada, podrá optar por impugnarla entre la interposición directa del recurso de apelación que será concedido en su caso, con efecto devolutivo, o iniciar un juicio declarativo general sumarísimo de oposición cuya promoción no impedirá el cumplimiento de la decisión judicial impugnada. Elegida una vía de impugnación, se perderá la posibilidad de hacer valer otra.También podrá solicitar la suspensión provisoria de la medida autosatisfactiva que lo afectare, en el supuesto de que acreditare «prima facie» la existencia de la posibilidad de sufrir un perjuicio de difícil o imposible reparación, previo ofrecimiento y prestación de contracautela, suficiente», lo que se colige en una serie de consecuencias que merecen ser expuestas.

La primera de ellas es que al elegir el recurso directo de apelación, el impugnante ha perdido la posibilidad de utilizar la otra, esto es, el juicio sumarísimo. Como derivación del articulo bajo análisis, es en la oportunidad de expresar sus agravios en la que debió plantear todas las defensas que consideraba oportunas y necesariamente debió acompañar las pruebas que hacen a su derecho u ofrecer las mismas para que este Tribunal, luego de analizar su pertinencia, ordenara su producción o agregación y compruebe o no los extremos invocados por el recurrente, cuestión que no ha acaecido en autos.

La segunda de ellas viene de la mano a lo reiteradamente sostenido por esta Alzada en cuanto a que «la norma resulta operativa independientemente del «nomen iuris» de la vía procesal elegida (tutela anticipada, cautelar innovativa, amparo, medida autosatisfactiva), pues el interés jurídicamente protegido pone el acento en el valor «eficacia» en la función jurisdiccional, para asegurar el adecuado servicio de justicia y el cumplimiento de la ley (Fallo Nº 17134/14 de este Tribunal), teniendo en cuenta principalmente que estas medidas fueron gestadas precisamente para que, superando las limitaciones propias de las clásicas cautelares y los alongados tiempos de los procesos ordinarios, el remedio jurisdiccional impetrado llegue al solicitante con la urgencia que requiera la atención de su necesidad» (Superior Tribunal de Justicia de la Provincia de Jujuy, Fecha: 18-ago-2010, Cita: MJ-JU-M-58418-AR | MJJ58418 | MJJ58418; cit. en

Fallo Nº19544/19, entre otros de ésta Excma.Cámara de Apelaciones en lo Civil y Comercial de la Provincia).

Dicho ello, la recurrente no ha desvirtuado en autos la vulnerabilidad del sistema informático de su representada o, al menos, no lo ha desvirtuado por prueba en contrario y de confronte con los hechos y acreditaciones de la actora acaecidos con posterioridad a la recepción del correo electrónico a través del cual fue invitada a migrar sus datos del sistema antiguo de Red Link al nuevo Homebanking de la entidad bancaria accionada, ofrecimiento que no fue expresamente negado por el banco y, en su caso, que ese nuevo modo virtual de relacionarse comercialmente con sus clientes brindaba igual o mayor seguridad que una operatoria presencial; ello así dado la falta de relación existente entre los datos originarios registrados por la actora en su anterior Home Banking los que no guardaban ninguna relación con los nuevos datos ingresados, extremo que por sí solo denota la ausencia de seguridad suficiente ante una señal que debió advertirse para evitar la migración sucedida en forma inmediata al nuevo Homebanking habilitado, salvo expresa acreditación del cumplimiento de los requisitos mínimos de gestión, implementación y control de los riesgos relacionados con la tecnología informática teniendo en cuenta la sección sexta del reglamento respectivo (del BCRA) pues lo que se impone es la aplicación a las mismas, dado el grado de especificidad y complejidad de las comunicaciones electrónicas, de las máximas medidas de seguridad tales como, incluso, la existencia de responsables de su administración y monitoreo permanente (ver punto 6.1.). Nótese que aunque en la expresión de agravios se cite un sinnúmero de posibilidades de infracciones que podrían atribuirse como eventualmente cometidas por el cliente reclamante , y por ende generadoras de la indebida transferencia acaecida, la ausencia de prueba sobre la existencia en su sistema de mecanismos de encriptación de robustez reconocida internacionalmente sella la suerte del recurso teniendo presente las normas y requisitos establecidos por el BCRA en su carácter de regulador del funcionamiento de los bancos comercialesy en los términos del art. 21 de la Ley Nº 21.526, mediante la cual emitiera diversas comunicaciones y enumeración de obligaciones de las entidades bancarias en miras a garantizar la efectiva protección de los intereses económicos de los usuarios en operaciones de servicios financieros, lo que da cuenta del interés de dicha entidad por prevenir situaciones como las aquí analizadas. A lo expuesto se suma, como ya se adelantara, que no fue negado que el hecho reclamado en la presente medida tuvo como origen la invitación a los clientes a efectuar la mudanza a un Home Banking, extremos que conforman premisas que prevalecen por todas las demás defensas invocadas con sustento en la falta de culminación de la instrucción generada por el hecho denunciado por la víctima.

Las medidas aludidas precedentemente (concretamente el art. 6.7.1. de la citada reglamentación) establecen que los contenidos del programa de concientización y capacitación «.deben incluir técnicas de detección y prevención de aprobación de datos personales y de las credenciales mediante ataques de tipo ingeniería social, phishing; vishing y otros de similares características.». No menos trascendente para el caso resulta la Comunicación A N.º 7072 de fecha 16/07/20 que en su art.2.2.2.11 dispone como política «conozca a su cliente» estableciendo una serie de recaudos a tomar de manera previa a la efectivización de una transferencia a los fines de continuar con la política de minimizar el riesgo, particularmente con respecto a las cuentas que allí se identifican; insistiendo siempre la citada reglamentación que la entidad bancaria debe poseer mecanismos de verificación fehaciente del usuario de los servicios y mediante técnicas de identificación positiva, a fin de constatar previamente a través del resultado del proceso de control y como mínimo, que los puntos de contacto indicados por el usuario no hayan sido modificados en forma reciente pues de así ser debe ser previamente verificada esa identidad del usuario y recién entonces se estaría en condiciones de comunicar la operatoria a través del punto de contacto disponible, extremos que en autos no han sido acreditados por parte del apelante lo que debe ser valorado como sustento de la resolución apelada e improcedencia de las quejas alegadas, y en tal sentido nos pronunciamos.

Que en virtud de lo considerado tratado y fundado -y que resulta medular- los demás cuestionamientos al despacho de la medida tramitada devienen inviables porque sobre la base del instituto señalado se imbrica necesariamente un plus respecto de los recaudos exigidos cuyo cumplimiento por parte de la accionante apelada resulta incuestionable, aún a la luz de estrictez y prudencia de decisiones en tal sentido; máxime teniendo presente el derecho consumeril aplicable y, particularmente, lo previsto por sus artículos 5, 40 y concordantes los que han sido correctamente analizados y aplicados en la instancia de origen; por todo lo cual corresponde desestimar el recurso de apelación incoado a pág. 46 debiendo, en consecuencia, confirmarse en todas sus partes la resolución N.º 231/22 dictada a pág. 37/40 vta. y en orden a los fundamentos acordados; con costas por su orden por no haber mediado oposición (art. 68 -2do. párr.del C.P.C.C.). Asimismo, y en orden al principio de economía procesal y lo expresamente normado por el art. 15 de la Ley Nº 512 resulta pertinente regular, en este mismo acto, los honorarios profesionales acorde a la actividad desarrollada en esta instancia.

Por ello, con la opinión coincidente de los Jueces de Cámara, Dra. JUDITH E. SOSA DE LOZINA y Dr. HORACIO ROBERTO ROGLAN (juez sobrogante), suscribiendo el fallo la Dra. VANESSA JENNY ANDREA BOONMAN -Presidenta- sin emitir su voto por haberse alcanzado la mayoría legal (conf. arts. 30 y 33, Ley N° 521 y sus modificatorias, Reglamento y Actas vigentes de este Tribunal), la Sala II -Año 2022-

de esta EXCMA. CÁMARA DE APELACIONES EN LO CIVIL Y COMERCIAL,

R E S U E L V E:

I.- DESESTIMAR el recurso de apelación incoado a pág. 46 debiendo, en consecuencia, confirmarse en todas sus partes el A.I. Nº 231/22 dictado a pág. 37/40 vta. en orden a los fundamentos acordados.

II.- CON COSTAS por su orden por no haber mediado oposición en esta instancia (art. 68 -2do. Párr.- del C.P.C.C.), a cuyo efecto REGULAR los honorarios de los profesionales apelantes Dres. Carlos G. Trujman y Carlos A. Lynch por sus intervenciones como apoderado y patrocinante letrado de la entidad apelante, respectivamente, en forma conjunta y proporción de ley en l a suma equivalente a (.) JUS (arts. 8, 9, 12, 13, 14, 15, 69 y ccdtes de la Ley N.º 512), a la que se le adicionará el porcentaje de IVA, de así corresponder.

Regístrese, notifíquese a las partes y a la Dirección General de Rentas y, oportunamente, bajen los autos al Juzgado de origen.

DRA. JUDITH E. SOSA DE LOZINA

JUEZA

CÁMARA CIVIL Y COMERCIAL

DRA. HORACIO ROBERTO ROGLAN

JUEZ SUBROGANTE

CÁMARA CIVIL Y COMERCIAL

ANTE MÍ

DR. RAMÓN ULISES CÓRDOVA SECRETARIO

CÁMARA CIVIL Y COMERCIAL

DRA. VANESSA JENNY ANDREA BOONMAN

PRESIDENTA

CÁMARA CIVIL Y COMERCIAL

A %d blogueros les gusta esto: