Aún no estás suscripto a Microjuris? Ingresá aquí.
Partes: Portillo Valeria Inés c/ Mercado Libre S.R.L. s/ sumarísimo
Tribunal: Cámara Nacional de Apelaciones en lo Comercial
Sala / Juzgado / Circunscripción / Nominación: F
Fecha: 15 de octubre de 2024
Colección: Fallos
Cita: MJ-JU-M-154002-AR|MJJ154002|MJJ154002
Voces: DAÑOS Y PERJUICIOS – PROTECCIÓN DEL CONSUMIDOR – OBLIGACIÓN DE SEGURIDAD – DINERO DIGITAL
La empresa proveedora de una plataforma digital no debe ser responsabilizada por el faltante de dinero de la cuenta de la actora al surgir que las operaciones cuestionadas fueron realizadas por aquella, quizá engañada por terceros.
Sumario:
1.-Corresponde confirmar el rechazo de la demanda contra la empresa proveedora de una plataforma digital pues con las capturas de pantalla presentadas en la causa penal y lo informado por el perito informático, puede desprenderse que, contrariamente a la falla de seguridad denunciada, las operaciones cuestionadas -vaciamiento de la cuenta de la actora mediante transferencias- fueron efectuadas -aunque quizás engañada por terceras personas- por la propia accionante o bien por una persona con acceso a su teléfono celular.
2.-Es procedente rechazar la demanda porque teniendo presente que la accionante reprochó a la empresa proveedora de una plataforma digital haber fallado en las medidas de seguridad permitiendo que terceros extraños ingresaran a la cuenta y la vaciaran, no cupo analizar si la accionada cumplió o no con las medidas de seguridad para permitir el ingreso a su cuenta; ello, desde que jamás la actora denunció que le hubiera sido sustraído su dispositivo móvil desde el cual se efectuaron las transferencias cuestionadas y el cual era utilizado con habitualidad por aquella.
3.-Las plataformas digitales son entornos que deben calificarse como riesgosos y peligrosos con la consecuente potencialidad de generar daños al consumidor, de modo tal que su responsabilidad no se funda en la autoría material de la acción delictiva denunciada en los hechos y/o en sede penal, sino en el deficiente control ejercido por las mismas para impedir la efectivización de la maniobra fraudulenta.
4.-Existe por parte de los proveedores de plataformas digitales una función preventiva de los daños que pueden provocarse al consumidor, pues existe una estrecha vinculación entre tres conceptos, a saber: información, seguridad y advertencia, de modo tal que siempre que haya relación de consumo, habrá obligación de seguridad -derivada de la cláusula constitucional de protección de los consumidores-, así como deber de información y advertencia.
5.-En tanto la empresa demandada opera como una billetera virtual que permite canalizar diversas transacciones, entre ellas transferencias e incluso vincular tarjetas del usuario, no cabe dudas de que en el caso resulta ser proveedora en los términos del art. 2 de la Ley de Defensa del Consumidor y los arts. 1092 y 1093 del CCivCom.
Fallo:
En Buenos Aires a los 15 días del mes de octubre de dos mil veinticuatro, reunidos los Señores Jueces de Cámara en la Sala de Acuerdos fueron traídos para conocer los autos «PORTILLO, VALERIA INES C/ MERCADO LIBRE S.R.L. S/SUMARISIMO» EXPTE. N° COM 19486/2022; en los que al practicarse la desinsaculación que ordena el art. 268 del Código Procesal Civil y Comercial de la Nación resultó que la votación debía tener lugar en el siguiente orden: Vocalía 16, Vocalía 17 y Vocalía 18. Dado que la vocalía 18 se halla actualmente vacante, intervendrán la Dra. Alejandra N. Tevez y el Dr. Ernesto Lucchelli (art. 109 RJN).
Se deja constancia que las referencias de las fechas de las actuaciones y las fojas de cada una de ellas son las que surgen de los registros digitales del expediente.
Estudiados los autos la Cámara plantea la siguiente cuestión a resolver:
¿Es arreglada a derecho la sentencia apelada de fs. 268/278?
La Sra. Juez de Cámara Dra. Alejandra N. Tevez dice:
I. Antecedentes de la causa
a. A fs. 2/9 VALERIA INES PORTILLO (en adelante, «Portillo»), inició demanda de daños y perjuicios contra MERCADOLIBRE SRL (en lo sucesivo «Mercadolibre»), a fin de obtener la suma de $640.000, más daño punitivo, multas, intereses y costas.
Reclamó a la demandada por violación al deber de seguridad en los servicios ofrecidos, al permitir mediante su sistema que un tercero extraño a su cuenta de Mercado Pago la vaciara de dinero por transferencia a otra cuenta desconocida.
Relató que hacía varios años que venía ahorrando dinero a través de su trabajo y que utilizaba la plataforma de Mercado Pago para enviar y recibir dinero.
Refirió que en dicha aplicación posee el alias «Portillo Valeria» y que operaba habitualmente con dinero en cuenta y mediante tarjetas de crédito y débito.
Indicó que el 7.9.22, alrededor de las 15.30 hs.recibió un llamado telefónico desconocido, supuestamente de un empleado de Mercadolibre, a efectos de chequear algunos datos para el reintegro de una promoción.
Sostuvo que, en ese momento, tal y como lo denunció en la comisaría, sólo brindó su nombre, apellido y CBU de Mercado Pago, algo que es totalmente inofensivo, siendo de conocimiento público y notorio que son datos que se intercambian a diario para realizar diferentes operaciones de dinero sea para enviar, recibir, pagar servicios, dividir plata con amigos, etc.
Que con posterioridad a ello -continuó- y por pura intuición, entró a la aplicación de Mercado Pago y para su desagradable sorpresa vio que le habían vaciado totalmente el dinero en cuenta que allí había depositado, que ascendía a $105.000, mediante transferencia.
Afirmó que también tomó conocimiento que, violentando aún más los sistemas de Mercado Pago, esos terceros también realizaron otra transferencia por la suma de $50.000 usando la tarjeta de débito del Banco BBVA Argentina SA.
Precisó que según los datos brindados por la propia accionada, el destinatario final de la mencionada transferencia era un supuesto sujeto (generalmente denominado «mula» dado que alquilan sus datos bancarios para operatorias fraudulentas) llamado «Mauro Alejandro Cardozo», cuyos datos precisos obran en la denuncia policial efectuada.
Indicó que logró comunicarse con la parte de «seguridad» de Mercadolibre y le bloquearon de forma preventiva la cuenta, lo que dijo adjuntar (fs. 10/15), asignándosele los números de reclamo 205392524 y 204815301.
Resaltó que el sistema de seguridad de Mercadolibre había fallado en tanto no brindó ni su usuario ni contraseña como así tampoco el celular le había sido sustraído.
Que consecuentemente con ello -continuó- la accionada no contaba con los niveles de seguridad adecuados para proteger al consumidor de este tipo de acciones fraudulentas.
Puntualizó que constituía una falta seria de la emplazada, el hecho de no haber generado ningún tipo de autenticación ni código de seguridad ni nada al momento de efectivizar la transferencia.Afirmó que el monto excede lo que normalmente una persona puede girar, por lo que no resulta extraño que, como lo hacen la mayoría de los bancos, la entidad financiera exija algún otro medio de autenticación de identidad para confirmar la operación.
Indicó que conforme se desprende de la denuncia penal la emplazada contaba con todos los datos de la cuenta de destino final para reintegrar el dinero transferido, pudiendo fácilmente congelar los fondos, cancelar la operatoria y retrotraer la misma; y, sin embargo, eligió no hacerlo y seguir perjudicando al consumidor.
Adujo la inexistencia de acto jurídico ya que no realizó la transferencia objeto de autos y sostuvo que Mercadolibre incumplió gravemente el deber de seguridad en las operaciones electrónicas que ella misma incentiva, tal y como prevé la LDC.
Afirmó desconocer cómo se hizo, pero que las medidas de seguridad adoptadas por Mercadolibre no han sido eficientes, toda vez que una persona extraña ingresó a su cuenta e hizo una transferencia bancaria hacia otra cuenta, vaciándose la totalidad del dinero disponible en la aplicación que maneja la demandada.
Endilgó responsabilidad a la contraria como dueña de la cosa y al interponer un elemento electrónico en el mercado para su uso masivo; y destacó que debe responder ante las fallas o vicios de tales artefactos.
Recalcó que la accionada no puede desconocer que no brindó los elementos de seguridad necesarios para evitar transferencias a cuentas bancarias extrañas y que las aplicaciones financieras o billeteras digitales, generalmente utilizan «factores de autenticación» o sistemas de doble chequeo, como enviar un email registrado con un código para verificar la transacción.
Atribuyó también incumplimiento al deber de información, desinformando o engañando, en tanto generaba la confianza ofreciendo el botón «cancelar transferencia», lo que en realidad no se permite.
Solicitó el resarcimiento del daño material derivado del directo incumplimiento a las medidas de seguridad y al deber de información por parte de Mercadolibre, la devolución íntegra de los $155.000 transferidos ilegítimamente actualizados con interés a tasaactiva hasta su efectivo pago, con más la suma de $190.000 en concepto de pérdida de chance, situaciones traumáticas y sinsabores.
Fundó en derecho su reclamo y ofreció prueba.
b. A fs.17/ 33, Mercadolibre contestó demanda.
En primer lugar, destacó que la demanda se basa en un relato de situaciones que le son ajenas, tales como el supuesto llamado de una persona y qué información la actora le proporcionó o no.
Refirió que los hechos indicados por Portillo diferían del relato que ella misma dio en la denuncia policial del 7.9.22, aspectos sobre los que se explayó.
Arguyó que dichas divergencias ponían en evidencia la poca credibilidad de sus dichos en el presente proceso, dado que era evidente que intentaba acomodar las versiones según su conveniencia.
Que sin perjuicio de si el llamado existió o no -prosiguió- las operaciones que Portillo desconoció fueron realizadas con su usuario, su clave y desde su dispositivo habitual de uso, respecto del cual nunca dijo haber sido desposeída; por lo que indicó se trató de transacciones que le corresponden.
Aclaró que, si la actora brindó los datos de su cuenta a un tercero y desconocido, ello obedeció a su propia negligencia.
Seguidamente formuló una negativa genérica y luego pormenorizada de los hechos.
Informó que la actora se registró como usuaria de las plataformas Mercadolibre y Mercado Pago el 26.7.11, con el usuario: POVA187344 (121), ID: 64948022, e-mail:portillo_valeria@hotmail.com y que en esa oportunidad aceptó los términos y condiciones de uso de ambas plataformas y de otros servicios accesorios.
Enfatizó que la cuenta fue operada desde el dispositivo habitual de la actora (un aparato de telefonía celular identificado como 5c9413732- b85a7419b2079d4) y también desde la IP habitual (181.46.102.9) para lo que aclaró que la IP es la dirección desde la cual el dispositivo se conecta con Internet.
Destacó que en ambos casos la habitualidad estaba dada por el hecho de que tanto el dispositivo como la IP habían sido usados en otras operaciones en otros momentos, que no fueron objeto de cuestionamiento por la actora, lo cual ratificaba que estas otras sí cuestionadas en realidad también le pertenecía.
Agregó que de los términos y condiciones de uso de las plataformas (que dijo adjuntar en el Anexo 2 -fs. 34/46-) surge la obligatoriedad de registrarse y aceptarlas para poder utilizarlas. Que así -prosiguió- se acepta que la cuenta es única, personal e intransferible, y que se accede a ella a través de una clave personal de conocimiento exclusivo del titular, quien a su vez se obliga a su custodia. De allí que el usuario será responsable de las operaciones que se hagan desde la plataforma.
Asimismo explicó que la plataforma posee diversas medidas de seguridad, ninguna de las cuales había sido infringida; y que cuenta con numerosas herramientas que fortalecen su seguridad, con certificaciones internacionales y procesos que garantizan la integridad de sus sistemas y mantenimiento de los más altos estándares de seguridad (que indicó acompañar en el Anexo 3 -fs. 47/85-).
Adicionó que no era cierto que se trataba de operaciones de montos elevados y que siendo que el dato del dispositivo usado y la IP desde donde se hicieron las transacciones se correspondían con los usados habitualmente por la parte actora, no existía motivo para no procesar las operaciones.
Finalmente se explayó sobre la inexistencia de los presupuestos de la responsabilidad civil y la improcedencia de los rubros reclamados.
Planteó la inconstitucionalidad del art.52 bis LD Ofreció prueba y fundó en derecho.
c. A fs. 87 Portillo desconoció la documental acompañada por la demandada y a fs. 97 contestó el planteo de inconstitucionalidad articulado.
d. A fs. 254/255 como medida de mejor proveer se requirió a la Fiscalía Nacional en lo Criminal y Correccional N° 2 la remisión de las actua ciones promovidas con motivo del sumario 470794/2022 (interno n°2325/22) caratulado «Art. 172 CP, Estafas y otras defraudaciones», las que lucen acompañadas a fs, 263.
e. Concluido el período probatorio (v. certificación de pruebas de fs. 227), a fs. 230/243 el Fiscal de Primera Instancia dictaminó pronunciándose por el rechazo de la demanda.
II. La sentencia de primera instancia
El a quo dictó sentencia a fs. 268/278. Rechazó la demanda con costas y difirió la regulación de honorarios.
Para así decidir, el magistrado inicialmente destacó que para analizar la procedencia de la pretensión se debe establecer si la persona de quien se pretende la indemnización cometió o no una infracción u obrar reprochable jurídicamente.
Recordó que Portillo endilgó una falla de seguridad a Mercadolibre, que habría permitido que se realizaran dos operaciones de movimiento de dinero desde su cuenta de Mercado Pago; y juzgó concluyente el resultado del inimpugnado informe pericial informático.
III. El recurso
Apeló la accionante en fs. 279. Su recurso fue concedido en relación a fs. 280.
Los fundamentos corren a fs. 281/283 y fueron contestados a fs. 285/291.
A fs. 297/304 dictaminó la Fiscal General ante esta Cámara.
A fs. 305 se llamaron autos para dictar sentencia y a fs. 311 se practicó el sorteo previsto en el CPr. 268.
A fs. 310 este Tribunal proveyó la presentación del accionada de fs. 306/309.
IV. Los agravios
Las quejas de Portillo transcurren por los siguientes carriles:i) el mérito y la valoración de la prueba; ii) la falta de consideración de la maniobra denominada phishing de la que habría sido víctima; y iii) el tratamiento asignado en relación a los deberes de seguridad, de información y de trato digno de la accionada.
V. La solución
a. Se agravia la accionante por cuanto entiende que el sentenciante eligió parte de una prueba aportada en autos para generalizar completamente el caso. Arguyó que no realizó un correcto encuadre de la cuestión.
Indicó que en forma coherente con la denuncia policial que efectuó, no entregó datos sensibles; y que no sabe cómo los terceros extraños han accedido a su cuenta de Mercadolibre y la vaciaron. Dijo que lo cierto es que fue víctima de una maniobra de phishing, la que tampoco pudo ser detectada por la accionada, motivo por el que debe responder.
Destacó que surge de la causa penal agregada a fs. 263/264 que efectivamente sufrió un engaño o estafa virtual. Contextualizó que en ese momento estábamos saliendo de la pandemia covid 19 y todas las partes se estaban actualizando a la modernidad de los medios de comunicación remotos.
Citó jurisprudencia y concluyó que al no haber realizado las operaciones -habiendo entregado sólo su CBU y no su contraseña-, todo acto en consecuencia debe anularse.
Enfatizó que los sistemas de la accionada fallaron no solamente al momento de la operación, sino también con posterioridad, siendo que no se le permitió «reversar» las operaciones ni se puso aquélla a su disposición frente a la desgracia ocurrida, violando de esa forma el deber de trato digno.
Afirmó que una vez anoticiada de la situación inmediatamente dio aviso a Mercadolibre y realizó la denuncia policial; y que la accionada no arbitró los medios para darle solución.
Refirió a los reclamos realizados que ofreció a fs.110/113 y señaló que, aún si hipotéticamente, hubiera entregado todos sus datos sensibles producto de la maniobra sufrida, su voluntad estuvo totalmente viciada.
Puntualizó que el a quo tomó algunos pasajes de la pericia informática para afirmar que no hubo ningún tipo de violación al sistema de seguridad de Mercadolibre y que ello no se ajusta a las circunstancias acreditadas ni al encuadre correcto.
Destacó que la accionada permite ingresar dinero o pagar a través de su aplicación utilizando el sistema de «DEBIN», en el cual se puede extraer dinero directamente depositado en la cuenta del usuario a la cuenta de Mercadolibre. Indicó que, a raíz de muchas estafas virtuales, comenzó a pedir «claves» para hacer esas transacciones que a la fecha de los hechos de la demanda no se requerían.
Citó algunas notas periodísticas digitales e indicó que en la actualidad pide, por ejemplo, reconocimiento facial para cada operación, lo que antes no solicitaba, y que podría haber rechazado el pago tal como surge de la pág.6 último párrafo del informe pericial informático.
Finalmente, cuestionó que el a quo infiriera que debía «estar al tanto» -expresión que tildó de ambigua- de los Términos y Condiciones para operar, para lo cual dijo que no había prueba respecto de si la actora tenía efectivo conocimiento de todos los términos y condiciones de uso de la plataforma, lo que recae sobre quien posee mayor expertise en la materia conforme el CCCN 1725.
Destacó que el derecho a la información a favor del consumidor consagrado en el CN 42, resulta tuitivo en todo el iter contractual y exige conocimiento efectivo, cierto y concreto por parte del proveedor al consumidor.
Y que -continuó- si en alguno de esos términos y condiciones se le exige una acción al consumidor como la doble autenticación, más aún debe ser el énfasis y la exigencia del proveedor, pues dichos extremos podrían conculcar futuros reclamos del consumidor.
Enfatizó que hoy en 2024, la accionada exige a todos sus usuarios activar la doble autenticación y validar con claves o tokens las transferencias y DEBINES justamente para evitar lo que en el caso pudo haberse evitado.
b. Adelanto que las quejas serán rechazadas. Seguidamente fundaré los motivos que me conducen hacia tal adelantada conclusión.
c. Aclaraciones preliminares
c.1. Diré liminarmente que no atenderé todos los planteos recursivos sino sólo aquellos que estime esenciales y decisivos para dictar el veredicto en la causa (conf. CSJN, «Altamirano, Ramón c/ Comisión Nacional de Energía Atómica», del 13/11/86; íd., «Soñes, Raúl c/ Administración Nacional de Aduanas», del 12/02/87; íd.,: «Pons, María y otro» del 06.10.87; íd., «Stancato, Carmelo», del 15/09/89; y Fallos, 221: 37; 222: 186; 226: 474; 228: 279; 233: 47; 234: 250; 243: 563; 247: 202; 310:1162; entre otros).
Así porque los magistrados no están obligados a seguir a las partes en cada una de las argumentaciones, ni a ponderar una por una y exhaustivamente todas las pruebas agregadas a la causa, sino sólo aquellas estimadas conducentes para fundar sus conclusiones (CSJN, Fallos: 272: 225; 274: 113; 276: 132; 200: 320; esta Sala, mi voto, in re, «Bocci Jorge Humberto c/ Inmobiliaria Prisa S.A. s/ ordinario» del 10/10/19, entre muchos otros).
c.2. Previo a ingresar al tratamiento de las quejas debo advertir que resulta dudoso si el escrito de fs. 281/283 cumple con las exigencias del CPr. 265. Ello así pues no ha mediado crítica concreta y razonada del fundamento central desarrollado por el sentenciante de grado en el pronunciamiento apelado para conducir al rechazo de la acción, esto es -adelanto- que las transacciones cuestionadas se efectuaron desde la IP y dispositivo habitual de la accionante.
Ello así, una rígida apreciación de su contenido impondría declarar la deserción del recurso en los términos del CPr. 266.
No obstante, a efectos de otorgar la mayor amplitud posible al ejercicio del derecho de defensa de la agraviada, ingresaré en el estudio de la queja (CNCom., esta Sala, in re, «Guillan Dora c/ Metlife Seguros de Retiro S.A. s/ ordinario» del 25.11.10, ídem, mi voto, in re, «D´angelo Oscar Juan c/ Nación Seguros s/ ordinario» del 20.11.18, entre otros).
d.La práctica denominada phishing y los deberes de la demandada como proveedora de la plataforma digital.
Refiere la accionante que el a quo no valoró adecuadamente la prueba y que efectuó un encuadre incorrecto en tanto surgiría evidente que resultó ser víctima de la maniobra denominada phishing.
Sin dejar de anticipar que en el caso no encuentro elementos que puedan evidenciar la existencia de phishing, a los fines de dar un adecuado tratamiento a su queja retomaré algunas de las conceptualizaciones que he desarrollado en oportunidad de emitir mi voto preopinante en la sentencia dictada por esta Sala F en autos «Buzzano, Malena Jazmin C/ Banco de la Ciudad de Buenos Aires s/ordinario» del 5.6.24.
Ello por cuanto si bien la accionante no mencionó el término phishing en su demanda tal como sí lo hace en su expresión de agravios, lo cierto es que allí imputó responsabilidad a la demandada tras indicar haber recibido una llamada telefónica el 7.9.22 y facilitado únicamente su nombre, apellido y CBU.
d.1.a. Bajo el término phishing -proveniente de la unión de los vocablos en inglés password, harvesting y fishing- se hace alusión a la «cosecha y pesca de contraseñas». Originariamente se evidenciaron maniobras caracterizadas por el envío masivo de correos electrónicos fraudulentos a clientes de entidades financieras (smishing) e incluso a través de llamadas telefónicas (vishing), con la finalidad de obtener de éstos los datos y las claves de usuario para permitir a los delincuentes el acceso fraudulento a la cuenta de la víctima.
Incluso, en los últimos tiempos la técnica de phishing ha evolucionado, migrando hacia otras formas de comunicación online como las redes sociales, Facebook o Twitter, entre otros, también para acceder a información personal y bancaria (Rodríguez Cano, María Victoria, «Estafa informática.El denominado phishing y la conducta del «mulero bancario»: categorización y doctrina de la Sala Segunda del Tribunal Supremo», España, 30.10.15).
Se trata, en definitiva, de una modalidad para cometer un ciberdelito, particularmente una estafa informática, entendida esta como «la producción de un perjuicio patrimonial a otro, de forma dolosa y sin autorización, a través de: a) la introducción, alteración, borrado o supresión de datos informáticos, b) cualquier forma de atentado al funcionamiento de un sistema informático, con la intención, fraudulenta o delictiva, de obtener sin autorización un beneficio económico para sí mismo o para un tercero» (art. 8 del Convenio sobre ciberdelito del Consejo de Europa, adoptado en la Ciudad de Budapest, Hungría, el 23.11.01, aprobado en la Argentina por Ley 27.411)
Así, a través de esta práctica se interceptan, en forma dolosa y sin autorización, datos informáticos a través de medios técnicos, en transmisiones no públicas (art. 3).
De allí que ha sido dicho que las entidades financieras cuentan con obligaciones respecto de la seguridad de sus plataformas y productos digitales que dan lugar a transacciones financieras, lo que comprende a todo tipo de estafas incluyendo las de ingeniería social (Bekerman, Uriel – Bastus, Guido, «Cibercriminalidad financiera y «phishing» bancario: diagnóstico y herramientas de tutela judicial» en Sistema penal e informática, Riquert (Director), tomo 5, Ciudad de Buenos Aires, Hammurabbi, 2022, p. 199).
Lo hasta aquí dicho, claro está, persigue efectuar un encuadre respecto de la práctica denunciada como acaecida -phishing-, y sin dejar de desconocer que al día de la fecha la aquí accionada no resulta ser -en rigor técnico- una entidad bancaria y/o financiera -lo que podría llevar a un diverso análisis respecto de la normativa aplicable a la fecha en que los hechos se suscitaron-.
d.1.b.Sin perjuicio de ello, en tanto Mercado Pago opera como una billetera virtual que permite canalizar diversas transacciones, entre ellas transferencias e incluso vincular tarjetas del usuario, no tengo dudas de que en el caso la aquí demandada resulta ser proveedora en los términos de la LDC 2 y el CCCN 1092 y 1093.
Ello así, recuerdo que la LDC 40 dispone que «Si el daño al consumidor resulta del vicio o riesgo de la cosa o de la prestación del servicio» -tal como lo ha alegado la aquí accionante- sólo «se liberará total o parcialmente quien demuestre que la causa del daño le ha sido ajena.» Este tipo de responsabilidad es sin lugar a dudas de tipo objetiva y derivada del vicio de la cosa.
Por fuera de la normativa consumeril, hallamos en el ámbito de la responsabilidad civil el CCCN. 1757 que dispone: «Hecho de las cosas y actividades riesgosas. Toda persona responde por el daño causado por el riesgo o vicio de las cosas, o de las actividades que sean riesgosas o peligrosas por su naturaleza, por los medios empleados o por las circunstancias de su realización. La responsabilidad es objetiva. No son eximentes la autorización administrativa para el uso de la cosa o la realización de la actividad, ni el cumplimiento de las técnicas de prevención.
Desde esta óptica es claro que se trata de una responsabilidad de tipo objetivo y que debe responder «quien obtiene un provecho de ella» (CCCN.1758). Entonces, bajo el amparo de LDC 40 y CCCN 1757 y 1758 el vicio o riesgo de la prestación del servicio no solo comprende a aquellas cosas, servicios y actividades que, por su naturaleza son consideradas riesgosas, sino que también pueden revestir el carácter de riesgoso los servicios en virtud de los medios empleados o las circunstancias de su realización.
En este sentido, no debe olvidarse que las plataformas digitales -como en el caso el servicio ofrecido por Mercadolibre/Mercado Pago- «son entornos que deben calificarse como riesgosos y peligrosos con la conse cuente potencialidad de generar daños al consumidor» (Souto, Virginia; «La obligación de capacitar del proveedor en el uso de plataformas digitales», V Jornadas Internacionales de Derecho Empresarial, 15-17 de mayo de 2024, Facultad de Derecho Universidad de Buenos Aires).
De modo tal que su responsabilidad no se funda en la autoría material de la acción delictiva denunciada en los hechos y/o en sede penal, sino en el deficiente control ejercido por las mismas para impedir la efectivización de la maniobra fraudulenta (mutatis mutandi, Torino, Lourdes María, «El consumidor financiero y la responsabilidad de la entidad bancaria ante estafas electrónicas», EBOOK-TR 2024 (Gómez Leo-Dasso), 1097, TR LALEY AR/DOC/757 /2024).
d.1.c. Obsérvese que, a partir de la reforma de 1994, el art. 42 de la Constitución Nacional reconoció a los usuarios de bienes y servicios ciertos derechos en relación al consumo, a saber: a la protección de sus intereses económicos; a una información adecuada y veraz; entre otros. Esta incorporación en aquella norma constitucional denota la trascendencia que han querido otorgar los constituyentes a tales derechos; y es desde esa perspectiva normativa que también deben analizarse sus consecuencias (en este sentido v.mis votos en esta Sala F en «Ricci Mariana Karina c/ Banco de la Ciudad de Buenos Aires y otros s/ordinario» del 21.8.23 y «Buzzano, Malena Jazmin C/ Banco de la Ciudad de Buenos Aires s/ordinario» del 5.6.24, entre otros).
Ello se complementa con la obligación de seguridad y advertencia que se desprende de la LDC 5 y 6. El «deber de advertencia», tiene el objetivo de evitar la configuración de perjuicios que pueden sufrir los consumidores y usuarios por la utilización de los bienes y/o servicios ofrecidos.
En efecto, existe por parte de los proveedores de plataformas digitales una función preventiva de los daños que pueden provocarse al consumidor. Es que existe una estrecha vinculación entre tres conceptos, a saber: información, seguridad y advertencia. De modo tal que «siempre que haya relación de consumo, habrá obligación de seguridad -derivada de la cláusula constitucional de protección de los consumidores-, así como deber de información y advertencia.» (Tevez, Alejandra, «El deber de advertencia en las relaciones de consumo», LALEY AR/DOC/1265/2015).
Así, comparto cuanto se dijo recientemente en las XXIX Jornadas Nacionales de Derecho Civil en el sentido de que las plataformas digitales como proveedoras deben responder «por el incumplimiento de los deberes de información, seguridad y trato digno, los cuales se agravan en función de la complejidad del entorno tecnológico. En tal sentido: (i) El deber de informar comprende, entre otros aspectos, la comunicación en forma clara, destacada, accesible y completa a los consumidores del real y efectivo rol de la plataforma en la operación económica. (ii) La obligación de seguridad se extiende al resguardo de la salud, la integridad física del consumidor, la intimidad, sus intereses económicos, preservación de la privacidad de los datos personales y de asegurar la trazabilidad de los proveedores (.).» (conclusión 7° aprobada por unanimidad en la Comisión N° 4 «Derecho de Consumo» en las XXIX Jornadas Nacionales de Derecho Civil, Pilar, 2024). d.1.d.Por último, creo necesario hacer una somera mención a lo que en materia de seguridad informática se denomina como «gestión de incidentes». Esto toda vez que la accionante le endilga responsabilidad a la accionada por lo que consideró «fallas de seguridad» y cuestionó su comportamiento frente a la presumible existencia de un incidente, en el caso, el alegado phishing.
Así, entre las diversas etapas en la gestión de incidentes -sin pretender con ello arrogarme conocimientos técnicos que no poseo-, se suelen distinguir: i) «preparación» en la que se asignan funciones y responsabilidades, identifican sus posibles incidentes de una lista y establecen los pasos a seguir para brindar atención, priorización, escalamiento y derivaciones; ii) «detección y análisis», en la que se espera que los sistemas tengan definidos los eventos no deseados para aislar aquellos que puedan ocasionar daños, evaluar posibles impactos y se activen las actividades planificadas con anterioridad; iii) «contención y erradicación» momento en el que posiblemente se tomen medidas para evitar un daño mayor, se apliquen soluciones o controles compensatorios para restablecer servicios o recuperen su nivel de servicio preestablecido; iv) «forencia» que implica el desarrollo de aquellas actividades desplegadas en el caso de una posible denuncia, informes detallados, e incorporación de las lecciones aprendidas para evitar una nueva ocurrencia y otras tareas que la organización requiera (Pallero, Marcela, «Ciberseguridad y servicios financieros» en «Fintech: aspectos legales»; Santiago J. Mora- Pablo Andrés Palazzi (compiladores), t. II, Colección Derecho y Tecnología, Ciudad Autónoma de Buenos Aires, 2019, p. 256/257).
Tras esta somera introducción normativa y conceptual, adelanto que. en el caso, no encuentro elementos que permitan inferir la existencia de una maniobra de phishing, ni mucho menos que le pueda ser imputada a la demandada responsabilidad por incumplimiento a los deberes de seguridad, información y trato digno.
Veamos.
e. Valoración de la prueba.
e.1.Recuerdo que la accionada dijo en la contestación de demanda, p.3/4) que existiría una contradicción entre los hechos mencionados en el escrito de inicio y en la denuncia policial que se arrimó como prueba documental (v. fs. 10/15, p. 8/9).
En efecto, en su escrito de inicio (p. 2) Portillo precisó que recibió una llamada de un supuesto empleado de Mercadolibre «a efectos de chequear algunos datos para el reintegro de una promoción» a quien sólo le brindó su «nombre, apellido y CBU de MercadoPago»; mientras que en la denuncia policial por acompañada (v. fs. 10/15 p. 8/9) dijo que quien la llamaba refirió ser «personal de Farmacity» y que le indicó que el motivo de la llamada era por el reintegro de $500, a quien le «brindó sus datos personales, mail y CBU de mercado pago».
Ello así, advierto que junto con su denuncia dijo que recibió un «llamado telefónico del Nro. +54911…9286 a su teléfono celular Nro. 11… 6161 perteneciente a la empresa Personal» y que en la causa penal (agregada a fs, 263 tras la medida para mejor proveer dictada por el a quo a fs. 254/255) acompañó un print de pantalla en el que se indicaba que el contacto era «Farmacity» y el número «+54911…9286» (v.p.6 causa penal).
En este contexto, aun cuando la existencia de dicha llamada se sustente únicamente en la declaración de la accionante -para lo que no puedo dejar d e advertir que en este proceso no se mencionó siquiera el número-, y sin perjuicio de la diferencia que se aprecia evidente en torno al origen de la comunicación; lo cierto es que -y este no es un dato menor- en ningún momento Portillo denunció el desapoderamiento de su teléfono celular, desde el cual -según se informó en el inimpugnado informe pericial informático se efectuaron las transferencias cuestionadas.
Más aún. En su escrito inaugural expresamente dijo:»Resulta claro que el sistema de seguridad de Mercadolibre ha fallado pues yo no he brindado ni mi usuario ni contraseña como así tampoco el celular me ha sido sustraído» (v. p. 3, el subrayado me pertenece).
e.2. Por otro lado, no puedo dejar de advertir que resulta cuanto menos llamativa la diferencia existente entre la captura de pantalla acompañada como documental por la accionante al momento de interponer la demanda el 18.10.22 (v. punto VII A) iv.-), y aquel print de pantalla brindado al efectuar la denuncia policial el mismo día de las operaciones cuestionadas – 7.9.22- a las 16:51 hs.
Véanse las imágenes que siguen, que coloqué juntas a los efectos de compararlas. En la imagen de la izquierda luce la p. 12 de la documental acompañada por la accionante a fs. 10/15; mientras que en la imagen de la derecha está la captura de pantalla acompañada al efectuar la denuncia que luce en la p. 11 de fs, 263 de la causa penal. Nótese que en esta última figura en el margen superior izquierdo un horario -«15:20»- y abajo un botón «Transferir».
Asimismo, junto con la denuncia del 7.9.22 se brindó otro print de pantalla: el de la p. 15 de la causa penal que se ve en la siguiente captura.
De ella se desprende su horario «15:05» que se trató de un «Reintegro» por un total de «$105.500» y las leyendas «No puedes usar este medio de pago».
Finalmente, destaco la captura de pantalla que se encuentra en la p.17 de la causa penal en la que figura la hora «15:18» y la opción «Agregar una cuenta» en la que se indican los datos de la cuenta de destino y – abajo- la opción «Continuar».
De este modo, no puedo dejar de advertir lo llamativo que resulta que estas dos últimas capturas no fueran acompañadas en estas actuaciones; mientras que el print relativo a la transferencia de los $50.000 fue aquí adjuntado pero recortado.
Igual de llamativo resulta que las capturas de pantalla presentadas en oportunidad de efectuar la denuncia policial -la que, recuerdo, fue efectuada el mismo día en que ocurrieron los hechos a casi una hora y media de la supuesta llamada recibida- contengan horarios anteriores al que Portillo indicó haber recibido la llamada, así como también que allí figuren las opciones «Transferir», «Pagar» y «Continuar».
e.3. De otro lado, reitero que se encuentra incuestionada la prueba pericial informática de fs. 211/223. Ella resulta por demás concluyente para eximir de responsabilidad a Mercadolibre y me conduce a confirmar el rechazo de la demanda decidida por el magistrado de primera instancia.
Así por cuanto en la misma se informa (p.6. a excepción de los subrayados que siguen que me pertenecen): i) Que la transacción «ID de pago 25566715034, corresponde a un «pago regular»- compra- por $105.000.-, a la cuenta de MercadoPago con ID de usuario: 1068527905, desde la IP: 181.46.102.9. con un identificador de dispositivo utilizado (device_id): 5c9413732b85a7419b2079d4.» ii) La segunda de ellas, «ID de pago 25566948602, corresponde a una transacción rechazada». iii) Y la tercera transacción «ID de pago:25567165624, por $50.000, corresponde a una transacción de fondeo o acreditación inmediata (DEBIN) en la cuenta de MercadoPago desde una cuenta origen de la cual no se registra información respecto a la IP ni al dispositivo utilizado.» Sin embargo también se informó que con el «ID retiro número 25567095161, el día 7/09/22 a las 15:20:23 hora Argentina, se realizó una transferencia desde la cuenta de la actora de Mercado Pago (retiro) por $50.000 a la cuenta con CBU 0070196530004027326085, registrada al CUIT/CUIL (.) correspondiente a (.) Cardozo, con el Id de dispositivo 5c9413732b85a7419b2079d4, desde la dirección IP 181.46.102.9.»(p.8).
Aclaró asimismo la experta que el «detalle completo de las transacciones de la plataforma consultadas en los registros de la demandada entre el 01/06/22 y 15/09/22» se adjuntaba en el Anexo 1 que consta a fs. 161/210 y que allí «se puede visualizar que el dispositivo identificado como 5c9413732b85a7419b2079d4, registrado en las operaciones del día 07/09/22 identificadas en la imagen, fue utilizado por la cuenta de usuario con anterioridad» (p.6/7).
En tales condiciones, teniendo presente que la accionante reprochó a la accionada haber fallado en las medidas de seguridad permitiendo que terceros extraños ingresaran a la cuenta y la vaciaran, no cupo analizar si la accionada cumplió o no con las medidas de seguridad para permitir el ingreso a su cuenta.Ello, desde que jamás denunció que le hubiera sido sustraído su dispositivo móvil desde el cual se efectuaron las transferencias cuestionadas y el cual era utilizado con habitualidad por la accionante.
Tales aspectos del informe pericial no fueron cuestionados por Portillo, por lo que no cabe restarle valor probatorio por meras formulaciones principistas.
En efecto, la prueba pericial informática resulta idónea para dilucidar el entuerto en tanto la cuestión debatida involucra aspectos de índole técnica.
Cabe recordar que la valoración del dictamen es parte de la actividad intelectual que realiza el juez para determinar la fuerza probatoria relativa que tiene cada uno de los medios de prueba en su comparación con los demás, para llegar al resultado de la correspondencia que en su conjunto debe atribuirles respecto de la versión fáctica suministrada por las partes (CNCom., esta Sala, «Cortona Ricardo José c/ Metlife Seguros S.A. s/ ordinario», 26.3.19).
Debe hacerse notar además que, si bien los jueces tienen amplia libertad para ponderar el dictamen pericial, ello no implica que puedan apartarse arbitrariamente de la opinión fundada del perito idóneo.Para hacerlo, deben basarse en argumentos objetivamente demostrativos de que la opinión del experto se halla reñida con los principios lógicos y máximas de experiencia, o que existen en el proceso elementos probatorios de mayor eficacia para provocar la convicción acerca de la verdad de los hechos controvertidos (CNCom., esta Sala, «Gómez Héctor Oscar c/ SMG Compañía Argentina de Seguros s/ ordinario», del 10.5.12), lo que no se advierte en el caso.
El artículo 477 del ordenamiento procesal civil y comercial nacional señala que la fuerza probatoria del dictamen pericial será estimado por el juez, teniendo en cuenta la competencia del perito, los principios científicos o técnicos en los que se funda, la concordancia del mismo con las reglas de la sana crítica, las observaciones formuladas por los consultores técnicos y los letrados, y demás elementos de convicción que la causa ofrezca (Kielmanovich Jorge L., «La teoría de la prueba y medios probatorios», Santa Fé, Rubinzal-Culzoni, 2004, ps. 591/592).
Desde este punto de vista no puedo dejar de destacar que puesto a disposición de la accionante tan concluyente dictamen pericial, ninguna impugnación ni solicitud de aclaración formuló.
Ello así, en tanto las transacciones denunciadas se efectuaron desde el dispositivo que -reitero- en ningún momento dejó de estar bajo la esfera de posesión de la aquí accionante, ninguna falla de los sistemas de seguridad puede imputarse.
Y es que con las capturas de pantalla presentadas en la causa penal y lo informado por la experta, puede desprenderse que, contrariamente a la falla de seguridad denunciada, las operaciones cuestionadas fueron efectuadas -aunque quizás engañada por terceras personas- por la propia accionante o bien por una persona con acceso a su teléfono celular. De allí que no puede imputarse responsabilidad a la proveedora de la plataforma.
Teniendo en cuenta lo expuesto, considero que la ponderación de la prueba realizada por el primer sentenciante fue correcta y la solución adoptada congruente.Por tal razón, y tal como lo adelantara, propondré al Acuerdo la confirmación del veredicto.
e.4. Por otro lado, si bien en el caso no se le puede reprochar obrar antijurídico a la accionada antes y en el momento en que las operaciones cuestionadas se efectuaran, resta analizar su posible responsabilidad con posterioridad, cuando la accionante le advirtiera que habría sido víctima de una estafa.
Anticipo que tampoco desde esta óptica encuentro responsable a Mercadolibre.
Ello por cuanto, tal como se desprende del relato de los hechos efectuado en la demanda, ni siquiera ha indicado Portillo claramente si previamente al bloqueo preventivo de la cuenta en virtud del cual se le asignó los nros de reclamo 204815301 y 205392524 (v. p. 3 y p.10 punto VII A) v.- ), intentó contactarse con la accionada y no pudo hacerlo; ni tampoco denunció -ni se desprenden de la causa- operaciones efectuadas con posterioridad a aquél bloqueo.
En este sentido, la experta informática especificó (p. 11) que los reclamos se efectúan a través de la plataforma (aplicación o Web site) desde la opción «Ayuda» y corroboró la existencia de los siguientes registros: i) «Caso 204815301, fecha de registro del reclamo es el 07/09/22 a las 15:34 hs.» ii) «Caso 205392524, fecha de registro del reclamo es el 08/09/22 a las 19:33 hs».
En ambos casos -conforme se desprende de la captura de pantalla acompañada en dicho informe pericial- la accionante indicó que no ingresó a ninguna página web que se hiciera pasar por Mercadolibre/Mercado Pago, que no tuvo contacto con un perfil ni red social (v. p. 12 y 13 informe pericial).
De tal modo se advierte que los reclamos de la accionante fueron efectuados tiempo después de acontecidos los hechos y no aparecen cuestionadas operaciones tras el bloqueo.
e. 5. No puede dejar de valorarse la implicancia que tiene el régimen de las cargas probatorias que preceptúa la LDC.53, norma que dispone que «Los proveedores deberán aportar a las características del bien o servicio, prestando la colaboración necesaria para el esclarecimiento de la cuestión debatida en el juicio».
Del texto legal se colige, así, que todo procedimiento en el que se encuentre en juego una relación de consumo -como la que aquí se ha establecido- importa la vigencia en materia probatoria de las «cargas dinámicas», principio que es llevado en estos casos a su máxima expresión (Junyent Bas, Francisco y Del Cerro, Candelaria, «Aspectos Procesales en la Ley de Defensa del Consumidor», La Ley on line, del 14.6.10; Berstein, Horacio «El derecho-deber de información y la carga de la prueba en las infracciones a la ley de defensa del consumidor»; La Ley 2004-B, 100).
Es que la desigualdad entre proveedores y consumidores no sólo proviene del mayor poder negocial que tienen los primeros, sino también del mayor caudal de información y estructuras de organización que detentan, que deben exhibir y utilizar a los fines de esclarecer la cuestión objeto de litigio (CNCom., esta Sala, mi voto en «González Gabriel Alberto c/ FCA Argentina SA y otro s/ ordinario» del 18.9.20).
En tales condiciones, la jurisprudencia que dijo citar la accionante en su expresión de agravios (v. p. 6) resulta inaplicable, por cuanto la posición procesal asumida por la demandada en este pleito no se limitó a manifestar haber dado cumplimiento a las medidas de seguridad.
Muy por el contrario, observo que: i) acompañó los términos y condiciones de Mercadolibre/Mercadopago y certificados en oportunidad de contestar demanda (v. fs. 34/46 y fs. 47/85); ii) acompañó los reclamos efectuados por la accionante en oportunidad de ser intimada bajo los términos del CPr. 388 (v. fs. 110 y fs. 111/112); y iii) ofreció y produjo prueba: a) informativa a los fines de acreditar la autenticidad y vigencia de los certificados ISO (v. punto 16 e. de la contestación de demanda, presentación de fs. 138 e informes agregados a fs.126/136 y fs. 142/145, y b) pericial informática en la que se demostró una actitud colaborativa (v. presentaciones de fs. 119 e informe pericial de fs. 211/223 y fs. 161/210). e.6. Sin perjuicio que lo dicho resulta suficiente para confirmar el veredicto de grado, formularé algunas consideraciones adicionales: i) En relación con lo indicado por la accionante en cuanto a que el «monto excede lo que normalmente una persona puede girar, por lo que no resulta extraño que, como lo hace la mayoría de los Bancos, la entidad financiera exija algún otro medio de autenticación de identidad para confirmar la operación»; lo cierto es que en ningún momento ofreció prueba tendiente a determinar cuáles eran los montos que giraba habitualmente. ii) Toda vez que las operaciones se efectuaron desde el dispositivo móvil e IP habitual de la accionante, el que -reitero- en ningún momento se denunció como sustraído, no resulta procedente el reintegro de las sumas transferidas.
En sintonía con ello advierto que en su demanda atribuyó incumplimiento al deber de seguridad a Mercadolibre en tanto dijo que «engañó al consumidor al no permitir «cancelar la operación» cuando SI aparece dicha opción» (p. 4).
También le atribuyó responsabilidad por incumplimiento al deber de información, desinformando y engañando, en tanto dijo «uno confía en el botón «cancelar transferencia» esperando poder retractar la operación si lo ofrece la accionada, pero en realidad no se permite.Todo un acting.
Ese deber de información, bien llevado a cabo y orientado hacia el consumidor, hubiera implicado que la accionada colabore con el rastreo de la cuenta destino y posterior denuncia e intentar, de algún modo, cancelar la transacción al momento que se entera que fue una estafa.» Desde esta óptica, no solo no se entiende a qué botón se refiere -lo que tampoco se deduce de la prueba documental acompañada – ni dicha circunstancia fue objeto de pericia, sino que además en la imagen por ella acompañada -a la que ya me he referido en el punto e.2.- se indica claramente la leyenda «Se envía al instante. Revisa los datos de la cuenta de destino, no podrás cancelar la transferencia» (v. p. 12 de fs. 10/15 y p. 11 de fs, 263).
Ello, sumado al hecho de que como bien lo reconoció en su demanda «desde ya hace varios años (.) utilizo la plataforma de MercadoPago para enviar y recibir dinero» aplicación en la que dijo operaba «habitualmente con dinero en cuenta y además mediante vinculación tanto de tarjetas de crédito como de débito» -y en la que se registró el 26.7.1, según informó la experta informatica (v. p. fs. 211/223)- . Todo ello descarta el incumplimiento al deber de información alegado por cuanto no puede desconocer las operatorias que habitualmente realizaba.
iii) Finalmente, me referiré a la Comunicación «A» 7325 del BCRA del 8.7.21 («Requisitos mínimos de gestión, implementación y control de los riesgos relacionados con tecnología informática, sistemas de información y recursos asociados para las entidades financieras») invocada por la Fiscal ante esta Cámara en su dictamen de fs. 297/304.
Dicha normativa impuso que para la autorización de un crédito preaprobado la entidad debe:i) verificar fehacientemente -mediante técnicas de identificación positiva- la identidad de la persona usuaria de servicios financieros involucrada; ii) constatar previamente que los puntos de contacto indicados por la persona usuaria de servicios financieros no hayan sido modificados recientemente; iii) comunicar -a través de todos los puntos de contacto disponibles- que el crédito se encuentra aprobado y que, de no mediar objeciones, el monto será acreditado en su cuenta a partir de los 2 días hábiles siguientes.
Desde esta óptica, en tanto dicha normativa refiere a solicitudes de préstamos, lo que en el presente caso no ha ocurrido toda vez que se trató de transferencias. resulta inaplicable en el caso.
e.7. Por todo lo hasta aquí dicho, concluyo que no procede asimilar este caso a los supuestos en los que se ha resuelto responsabilizado al proveedor y en los que el consumidor -víctima de la ciberdelincuencia- ha proporcionado su usuario, claves y/o códigos de validación de acceso a su cuenta. Así por cuanto en tales precedentes se juzgó acreditado que las operaciones se efectuaron por terceras personas -y no por el reclamantedesde dispositivos y/o IP distintos a los utilizados habitualmente -tal como aconteció en el precedente «Buzzano» citado-.
En efecto, contrariamente a ello, en la presente causa una correcta valoración de la prueba me persuade de que las operaciones aquí cuestionadas fueron efectuadas por la actora -o bien una persona de su entorno-.
Y es que si se hace un análisis de las consideraciones arriba formuladas, no sólo se advierten inconsistencias y omisiones entre lo denunciado y acompañado por la accionante en sede policial y en la presente causa.
En efecto, también los print de pantalla que constan en la causa penal y la prueba pericial informática realizada en las presentes actuaciones resultan dirimentes para concluir que las dos operaciones cuestionadas por Portillo fueron realizadas por quien tenía acceso legítimo a su celular.
Recapitulemos. i) La accionante optó por acompañar en la presente causa la documentación relativa a una sola de las dos operaciones cuestionadas:la transferencia de $50.000 efectuada a la cuenta de Banco Galicia CBU 0070196530004027326085 (v. imagen de p. 12 de 10/15). Sin embargo, dicho documento aparece aquí «recortado» si se lo compara con la captura de pantalla arrimada en la comisaría en oportunidad de efectuar la denuncia policial a las 16:51 hs. del mismo día n que se efectuó la operación -7.9.22- (v. p. 11 de fs, 263). Y es que en el print allí acompañado se desprende el horario – » 15:20 «- y el botón «Transferir» Dichos datos a su vez, se corresponden con los brindados por la experta informática y que identificó como la «tercera transacción». En efecto se relaciona con la operación «ID de pago: 25567165624, por $50.000, correspondiente a la transacción de fondeo o acreditación inmediata (DEBIN) en la cuenta de MercadoPago desde una cuenta origen» que tiene su correlato con el «ID retiro N° 25567095161», del 7.9.22 «a las 15:20:23» hs, transferencia desde la cuenta de la actora de Mercado Pago (retiro) «por $50.000 a la cuenta con CBU 0070196530004027326085, registrada al CUIT/CUIL (.) correspondiente a (.), con el Id de dispositivo 5c9413732b85a7419- b2079d4, desde la dirección IP 181.46.102.9» .(p.8 informe pericial).
A ello se debe adicionar que en la causa penal también acompañó un print de pantalla (p. 17 de la causa penal) en el que consta el horario de «15:18» en la que se agregó la cuenta del Banco Galicia mencionada (v. botón de «Continuar»), esto es, dos minutos antes de la operación cuestionada. ii) Asimismo, la captura de pantalla de las «15:05» (hs) con la leyenda «Reintegro. Total $105.500. No puedes usar este medio de pago» que consta en la 15 de la causa penal, se corresponde con la segunda transacción indicada por la experta como rechazada: «ID de pago 25566948602».
Mientras que del cuadro acompañado por la experta (p.6 informe pericial) se desprende que la operación fue de $105.500 y el número de dispositivo «5c9413732b85a7419b2079d4», desde la dirección IP «181.46.102.9».
iii) Por último, destaco que en el informe pericial informático se indica que la primer transacción efectuada «ID de pago 25566715034, por $105.000 a la cuenta de MercadoPago con ID de usuario: 1068527905», se efectuó desde el «IP 181.46.102.9». y con el mismo «identificador de dispositivo utilizado (device_id): 5c9413732b85a7419b2079d4.» Se advierte así que los horarios resultan determinantes si se tiene en cuenta que las transacciones se efectuaron en momentos previos al horario que dijo haber recibido la llamada -15:30 hs- y des de la misma IP y dispositivo, el que nunca dejó de estar en poder de la accionante. Por lo que se puede concluir que no que fueron terceros extraños quienes ingresaron a la cuenta de la accionante y la vaciaron.
Consecuentemente con ello, no corresponde ingresar al tratamiento de la suficiencia -o no- de las medidas de seguridad por parte de la proveedora de la plataforma digital, en tanto surge descartado el ingreso de terceros extraños a las cuentas de la accionante.
Y es que, si bien no se desconoce que la pandemia ha tenido una fuerte incidencia en las ciberestafas, lo cierto es que aun asumiendo el criterio interpretativo más favorable a la pretensión de la actora no surge acreditada la existencia de la maniobra de phishing que sostiene.
Desde esta óptica, aun con el carácter restrictivo que se debe advertir la debida diligencia por parte de la consumidora a la hora de analizar el acaecimiento de las eximentes de responsabilidad cuando de responsabilidad objetiva se trata (arg. Fallos: 331:819), lo concreto es que no se ha desvirtuado el argumento central y dirimente que llevó al a quo al rechazo de la demanda: esto es -a fuerza de ser reiterativa- que las transacciones se efectuaron desde el IP y dispositivo con el que habitualmente operaba la accionante.
Por ello, corresponde desestimar las quejas y confirmar el rechazo de la demanda.
VI.Conclusión
Por los fundamentos expresados precedentemente, si mi voto fuera compartido por mi distinguido colega del Tribunal, propongo al Acuerdo: i) rechazar el recurso y confirmar la sentencia de la anterior instancia; y ii) imponer las costas de Alzada a la actora vencida, por virtud del principio objetivo de la derrota (CPr. 68).
Así voto.
Por análogas razones el Dr. Ernesto Lucchelli adhiere al voto que antecede.
Con lo que terminó este Acuerdo que firmaron los señores Jueces de Cámara doctores:
Ernesto Lucchelli
Alejandra N. Tevez
María Florencia Estevarena
Secretaria de Cámara
Buenos Aires, 15 de octubre de 2024.
Y Vistos:
I. Por los fundamentos expresados en el Acuerdo que antecede, se resuelve: i) rechazar el recurso y confirmar la sentencia de la anterior instancia; y ii) imponer las costas de Alzada a la actora vencida, por virtud del principio objetivo de la derrota (CPr. 68).
II. Notifíquese (Ley N° 26.685, Ac. CSJN N° 31/2011 art. 1° y N° 3/2015), cúmplase con la protocolización y publicación de la presente decisión (cfr. Ley N° 26.856, art. 1; Ac. CSJN N° 15/13, N° 24/13 y N° 6/14) y devuélvase a la instancia de grado.
Firman los suscriptos por hallarse vacante la Vocalía N° 18 (art. 109 RJN).
Ernesto Lucchelli
Alejandra N. Tevez
María Florencia Estevarena
Secretaria de Cámara
