Un fallo de la Justicia provincial ordenó al Banco Formosa a que en el término de 48 horas restituya a una clienta de la entidad el dinero de su sueldo mensual, que personas desconocidas tomaron de su cuenta corriente sin su consentimiento, en una artera maniobra conocida como estafa virtual o cibercrimen.
La entidad banciaria deberá devolver el dinero sustraído en la caja de ahorro haberes de la cual la damnificada es titular, según ordenó el doctor Raúl López Iriburu, titular del Juzgado Civil y Comercial Nº 3 de esta capital, en el fallo número 384/22 que lleva su firma.
La víctima de esta ciberestafa es una mujer discapacitada a quien el pasado 3 de mayo personas no identificadas le vaciaron su cuenta, dejando como saldo tan solo la suma de 89,21 pesos, con la que resulta insostenible la subsistencia de una persona por el resto del mes.
Luego de analizar el caso el magistrado concluyó que hubo una clara deficiencia en la seguridad de la entidad crediticia incumpliendo de esta manera con la normativa del Banco Central de la República Argentina, lo cual hizo que la clienta perdiera su sueldo tras ser víctima de un fraude cibernético consumado por desconocidos.
La medida judicial fue ordenada en el marco de una demanda autosatisfactiva que impulsó la damnificada, donde relató lo sucedido, manifestando que se realizaron transferencias no autorizadas desde su cuenta sueldo en la entidad hacia terceros, desconociendo quien podría ser o cómo accedió a su caja de ahorro, razón por la cual aseveró que esto fue posible porque falló la seguridad del propio banco, ya que de otra forma hubiera sido imposible la consumación de la estafa virtual.
En su demanda, la mujer dijo que para realizar transferencia su banco requería de una aprobación y/o validación mediante “un código token enviado al teléfono celular de la cuenta lo que en su caso no pasó, tomando conocimiento de las transferencias una vez realizadas, cuando el delito ya fue materializado por negligencia e impericia del banco«.
Cuando se encontró con el faltante se comunicó con la entidad vía home banking en una opción que tiene el sistema para denunciar estas estafas y también denunció penalmente al 911. También fue personalmente al banco donde procedieron a bloquear la cuenta, pero le manifestaron que el dinero no se podía recuperar, idéntica respuesta que recibió del Defensor del Pueblo cuando hizo la denuncia telefónica.
Falló la seguridad
El juez López Uriburu analizó que de las pruebas surgía que conforme el informe bancario de la fecha de la transferencia se identificó que desde un IP “público” distinto al que solía usar la clienta en cuestión se dio de baja el sistema de SMS Token, “es decir, cambió el modo de verificación/confirmación de transacciones mediante el código que se envía por SMS al número de teléfono celular de la demandante por el SOFT token, modo de verificación éste último que consiste en la confirmación por el código que se envía por e-mail, el que se dio de alta a las 17:06 horas de la misma fecha, es decir, 3 minutos después de haber dado de baja el SMS token, sin atravesar para ello por alguna barrera de seguridad virtual que le permita efectuar esas operaciones de baja y alta respectivas, para 4 minutos después, a las 17:10 hs., realizar la transferencia”.
En el fallo, el juez advierte que del detalle de movimientos efectuados surge claro que las operaciones previamente realizadas de baja del SMS token y alta del SOFT token, lo fueron con la clara finalidad de facilitar la transferencia en crisis y a la cual se pudo llegar por defectos en el sistema de seguridad del home banking.
Respecto a la explicación y utilidad del «Token» el propio Banco es el que dice «cada vez que tengas que hacer una transacción o modificar tus datos, vas a recibir un SMS con una clave para confirmar». En el caso la baja de verificación de SMS token y el alta de SOFT token implican una modificación de datos a partir del cual el usuario va a verificar y confirmar las operaciones realizadas desde la plataforma; “sin embargo -afirmó López Uriburu- no sólo ha fallado el sistema de seguridad del home banking en tanto terceros han podido ingresar a la cuenta de la damnificada, sino que además han podido operar en el mismo y modificar datos tales como el sistema de verificación token de SMS al SOFT sin atravesar barrera de seguridad alguna que permita asegurar que sólo el titular de la cuenta pueda realizar dichas modificaciones”.
Por otro lado, el Banco Formosa permitió que la transferencia se realice utilizando la WEB desde un IP 190.138.203.114 de «carácter pública», lo que el propio banco refiere como uso contrario a todas las recomendaciones de seguridad publicadas y de uso responsable. “Pues bien -dice el juez López Uriburu- si el uso de redes de carácter público resulta contrario a las recomendaciones de seguridad, nuevamente se observa la falencia en el sistema de seguridad del home banking que no debería permitir que operaciones que impliquen la transferencia de fondos puedan ser realizados desde una web de carácter público que no garantice la seguridad en la operación, las que deberían poder realizarse sólo mediante el uso de redes seguras”.
En otro orden, el magistrado hace notar que de los detalles de movimientos de la cuenta de la víctima no surgen transferencias efectuadas previamente, lo que deja ver que tal operación no resulta habitual en ella, indicios todos que permiten presumir que la transferencia en cuestión no ha sido realizada por la damnificada “quien ha sido víctima de un fraude cibernético, el que resulta atribuible al Banco Formosa S.A. por deficiencias en el sistema de seguridad del servicio que brinda y por el cual debe responder”.
En tal sentido, el fallo recuerda que la obligación de seguridad instituida en el artículo 42 de la Constitución Nacional y reglada en el artículo 5 de la Ley de Defensa del Consumidor N° 24.240 comprende, en los entornos digitales, que los proveedores deberán velar porque las operaciones que se realicen por medio de plataformas, aplicaciones, dispositivos o canales de atención sean seguros, y prevenir riesgos y peligros a los que puedan estar comprometidos la seguridad, los datos personales o los intereses económicos de los consumidores, pues son los proveedores del servicio quienes diseñan, organizan y controlan, por lo que devienen en custodios de aquellos.
Por su parte, el Banco Central de la República Argentina ha emitido diversas comunicaciones referidas a la seguridad de las transferencias exigiendo a los Bancos tener implementados mecanismos de seguridad informática que garanticen la genuidad de las operaciones (B.C.R.A. Comunicación A 3323 – 1.7.2.2; Comunicación A 5990 – 1.1.7.3), como así también conforme a lo establecido en las normas sobre requisitos mínimos de gestión, implementación y control de riesgos relacionados con tecnología informática, gestión de la información y recursos asociados para las entidades financieras, las entidades financieras deberán satisfacer los requisitos técnico-operativos de seguridad establecidos en la Sección 6.» (Comunicación A 7361 ? 2.2.6).-
Señala finalmente el fallo judicial que bajo las condiciones hasta aquí analizadas, el home banking se constituye en el servicio prestado por el Banco Formosa a sus clientes, que al estar comprendido por un sistema informático franqueable, puede implicar la prestación de un servicio deficiente que -como en el caso- puede producir daños al consumidor y genera en el prestador del servicio la responsabilidad objetiva en los términos del artículo 40 de la Ley de Defensa del Consumidor.