28.11.2021
DÓLAR
99.75 / 105.75 0.00%
BLUE
198.00 / 201.00 0.25%

Cayó en el delito de "phishing" pero la Justicia revocó la demanda por estafa virtual contra el banco: los motivos

Cayó en el delito de "phishing" pero la Justicia revocó la demanda por estafa virtual contra el banco: los motivos
La mujer había recibido un llamado telefónico de un tercero que se hizo pasar por empleada del banco y le dio sus claves tras la promesa de un premio
Por Sebastian Albornos
18.10.2021 11.15hs Legales

La sala Primera en lo Civil y Comercial de la Cámara de Apelaciones de Gualeguaychú revocó una sentencia que había condenado al Nuevo Banco de Entre Ríos tras la demanda de una clienta que había sido víctima de una estafa telefónica.

En el caso "G., B. I. c/ Nuevo Banco de Entre Ríos S.A. s/ sumarísimo", la mujer había sido engañada por una persona que, bajo promesa de otorgarle un premio, logró que la mujer ingresara al cajero automático y le brinde sus claves. A partir de allí, el delincuente tomó su identidad como cliente de la entidad, le vació la cuenta y pidió un préstamo  y operó a su antojo.

En primera instancia se atribuyó responsabilidad de modo concurrente a ambas partes y se admitió la demanda por el 50% del reclamo.

El juez sostuvo que la conducta de la mujer no fue causa exclusiva de lo ocurrido pues convergió con el incumplimiento al deber de seguridad y de información debida por el banco; más específicamente, con el deber de advertencia.

De allí que, a su entender, el nexo causal no fue totalmente fracturado por dicha conducta. Concretamente, expuso que, ante la repetición de estafas de este tipo -acontecimientos que, según mencionó, eran conocidos por ser ampliamente difundidos por los medios de comunicación-, el banco debió adoptar una actitud preventiva más vigorosa.

Advirtió que el banco no informó haber tomado medidas preventivas acorde a esa realidad. Criticó la ausencia de advertencias al cliente acerca de las estafas y la obligación que el Banco Central de la República Argentina (BCRA) pone en cabeza de las entidades financieras en este punto (a la fecha del dictado del fallo).

Al momento de atribuir responsabilidades, consideró el incumplimiento de la normativa del BCRA en lo atinente al diferimiento de transferencias cuando éstas se consideren "inconsistentes".

También señaló que la Ley de Defensa del Consumidor (LDC) impone el deber de seguridad y consecuente responsabilidad cuando se verifican daños a los consumidores. Aludió al derecho a la educación del consumidor, que comprende la explicación de los riesgos y peligros en el consumo de productos y servicios con sentido crítico frente a las técnicas de publicidad y comercialización.

Dijo que, en cuanto a la obligación de seguridad, engloba la prevención de todo tipo de daños.

También tuvo en cuenta la actitud de la entidad respecto de la colaboración al momento de aportar prueba, ya que la consideró imprudente al haber borrado las filmaciones de los cajeros automáticos del día en cuestión, pese a que hubo una denuncia por estafa.

Esta decisión fue apelada por ambas partes.

s
Para la Cámara, si el cliente cede sus claves, no hay medida de seguridad que alcance

El fallo de la Cámara

Al analizar el expediente, la Cámara no identificó "cual o cuales fueron las conductas que el banco debió cumplir y omitió hacer". La entidad bancaria alertó a la clienta sobre el uso "personal" de las claves y, además, exigió el empleo de clave token -y el cuadro de coordenadas- para la validación de transacciones.

Los jueces explicaron que si un cliente del banco "cede a la tentación de compartir sus claves debido a la promesa que se le hace del otro lado, por descabellada que sea, ello es imposible de impedir, no hay medida de seguridad que valga ni alcance".

Es lo que se conoce, como delito de "phishing" -por pescar-, y es muy distinto del hackeo, donde la víctima no tiene participación.

El phishing es la "suplantación de identidad, al modelo de abuso informático, que persigue apropiarse de datos confidenciales de los usuarios para, en base a ellos, conseguir menoscabar patrimonios ajenos. El delito consiste en obtener información, como números de tarjetas de crédito, contraseñas, información de cuentas u otros datos personales por medio de engaños", agregaron los jueces.

Y explicaron que "este tipo de fraude se efectúa habitualmente a través de mensajes de correo electrónico o de ventanas emergentes. El cibercriminal, conocido como phisher, se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo común un correo electrónico, o algún sistema de mensajería instantánea o incluso utilizando también llamadas telefónicas".

El término phishing proviene de la palabra inglesa fishing (pesca), haciendo alusión al intento de hacer que los usuarios "muerdan el anzuelo".

"El ticket que emitió el cajero al obtener a clave token es un ejemplo en tal sentido. Entonces, nuevamente, a riesgo de ser fatigoso, ¿hasta dónde llega la obligación de seguridad de la entidad financiera si su cliente, pese a todos los recaudos que se tomaron –que, debe decirse, siempre serán insuficientes-, compartió sus claves con un desconocido por teléfono?", cuestionó la Cámara.

Para los camaristas, "alegar que las medidas de seguridad establecidas por el banco fueron insuficientes sin brindar una idea concreta de la omisión puntual que se reprocha no parece justo ni conveniente".

Los jueces explicaron que, si un cliente del banco "cede a la tentación de compartir sus claves debido a la promesa que se le hace del otro lado, por descabellada que sea, ello es imposible de impedir, no hay medida de seguridad que valga ni alcance".

"Es por eso que no hay muchas más alternativas que educar al consumidor y hasta que esa formación tenga lugar, recomendarle algo básico, "no comparta sus claves", advirtió el fallo y añadió: "Las medidas de seguridad implementadas o a implementarse, cuando no hay prudencia o buen uso de las herramientas por parte del consumidor, nunca alcanzarán a cubrir todas las situaciones posibles. Siempre serán insuficientes".

Los expertos recomiendan no divulgar datos de tarjetas ni claves bancarias
Los expertos recomiendan no divulgar datos de tarjetas ni claves bancarias

Recaudos

Antonio Palestini, abogado del estudio Grispo, indicó que, los modus operandi de las estafas denunciadas varían en diferentes aspectos, pero en todos los casos se observaron diversas estrategias utilizadas por los delincuentes con el objetivo de obtener datos de los usuarios de dinero digital, y con estos, robarles su dinero, realizar consumos con sus tarjetas o pedir préstamos de rápido otorgamiento.

Es decir, se trata de un "cuento del tío digital".

"Los delincuentes a través de redes sociales, correos electrónicos o mediante llamados telefónicos, se ponen en contacto con las víctimas utilizando diversas excusas, como por ejemplo ofreciendo algún tipo de promoción, o planteando que se contactan en relación con denuncias recibidas sobre fallas en determinado servicio el cual dicen ofrecer, o del cual dicen ser parte del sector de asistencia técnica", agrega.

En función del auge de este tipo de crímenes, el Banco Central de la República Argentina emitió una serie de recomendaciones a los usuarios relativas a precauciones que deben de tomarse para proteger los datos bancarios y confidenciales.

De este modo recomienda no brindar datos confidenciales (usuarios, claves, contraseñas, pin, clave de seguridad social, clave token, DNI original o fotocopia, entre otros) por teléfono, correo electrónico, redes sociales, o mensajes de texto. Tampoco se recomienda ingresar esta clase de datos en los sitios a los que se haya accedido a través de links recibidos por correos electrónicos, redes sociales, WhatsApp o mensaje de texto.

En síntesis, en el contexto actual es necesario extremar los cuidados al realizar operaciones mediante plataformas electrónicas, y en caso de resultar víctima de uno de estos delitos, es necesario acudir a la justicia lo antes posible para realizar la denuncia correspondiente, y así lograr detener la ejecución de los préstamos que se hubieran solicitado.

Las entidades financieras tendrán que verificar fehacientemente la identidad de las personas que solicitan la acreditación de créditos preaprobados a través de los canales electrónicos, por una medida resuelta hace unos días por el Banco Central de la República Argentina para reforzar las normas de seguridad.

Además, tendrán que hacer un monitoreo y control, como mínimo, de los puntos de contacto indicados por el usuario y comprobar que no hayan sido modificados recientemente.

Recién después de la verificación, la entidad deberá comunicarle –a través de todos los puntos de contacto disponibles– que el crédito se encuentra aprobado y que, de no mediar objeciones, el monto será acreditado en su cuenta a partir de las 48 horas hábiles siguientes. El citado plazo de acreditación podrá ser reducido en el caso de recibirse la conformidad del usuario de servicios financieros de manera fehaciente.

En paralelo, el BCRA indicó que el control deberá ser sobre todas las operaciones de créditos preaprobados realizadas a través de todos los canales electrónicos disponibles: ATMs, TAS, banca de internet (BI) y banca móvil (BM).