El Superior Tribunal de Justicia rechazó el planteo de una entidad bancaria y confirmó la condena por un caso de “phishing” (suplantación de identidad) del que fue víctima un cliente.
El hombre puso a la venta una camioneta por Facebook. Se contactó una persona de Zapala, a través de la mensajería de la red social. El supuesto comprador dijo que le transferiría la mitad del monto solicitado y el resto cuando buscara el vehículo.
Le pidieron el CBU. Entonces, comenzó la estafa: el comprador le dijo que se le había bloqueado la tarjeta, que fuera a un cajero y allí lo iba a llamar alguien del banco. Que siguiera los pasos para rehabilitar el plástico.
Finalmente, el vendedor transfirió una importante suma de dinero. Cuando comenzó a sospechar, cortó la comunicación. Al otro día fue al banco, donde le informaron que habían solicitado un préstamo y transferido ese monto a una cuenta desconocida, de Córdoba. A primera hora ya habían retirado el dinero depositado.
En su demanda al Banco de La Pampa dijo que la entidad no tomó las previsiones de seguridad para que la estafa no ocurra. “La entidad demandada no debería otorgar créditos “pre aprobados” sin antes confirmarlo fehacientemente con el titular de la cuenta, o exigir su firma o cualquier otro medio que evite este tipo de estafas”, aseguró.
Señaló que no le enviaron ninguna notificación ni por teléfono ni por correo para confirmación del préstamo.
En definitiva, alegó que el banco no tomó los recaudos para evitar la estafa, refiriendo que se ha configurado un caso de «Phishing» que configuró como: “cosecha y pesca de contraseñas, definido como el uso de técnicas de ingeniería social, donde se engaña y manipula psicológicamente a la víctima para que revele datos que no brindaría en circunstancias normales, por lo que entiende que corresponde receptar la demanda.”
Por su parte, el banco describió y detalló los mecanismos de seguridad que utiliza, por lo que entendió que se ha configurado un supuesto de «culpa de la víctima» ya que según las cámaras pudo corroborar que la persona que realiza las operaciones de gestión de usuario de homebanking y clave Token es el propio denunciante.
Entendió que si el titular de la cuenta reveló la clave y token a un tercero, ya sea voluntaria o involuntariamente -por engaño- y “éste realiza una operación bancaria no consentida por el titular de la cuenta”, entonces “el banco no puede ser responsable”.
Tanto el fallo de primera instancia del juez civil de Bariloche como de la Cámara dieron por probado que no cumplieron con el deber de seguridad: “lo determinante es que el préstamo no fue solicitado por la actora, ni de manera presencial ni virtual, por el contrario fue gestionado por un tercero desde un dispositivo digital”.
Ordenaron al banco reintegrar las sumas descontadas y abstenerse de retener las cuotas del préstamo tomado. Además, ordenaron que elimine cualquier referencia en el VERAZ del cliente. También impusieron un monto por daño moral y por daño punitivo.
En su planteo ante el Superior Tribunal, el banco insistió en que “su conducta no fue la generadora de responsabilidad dado que nunca tuvo un proceder antijurídico y que la propia cliente fue partícipe necesario del hecho ilícito -phishing-, en forma voluntaria y sin vicio alguno que pudiera atacar su discernimiento”.
El Superior Tribunal rechazó el planteo. Por un lado argumentó que el banco “no hace más que insistir en los agravios desarrollados en oportunidad de interponer el recurso principal, limitándose a reiterarlos y a manifestar su discrepancia con la resolución de la Cámara, pero no realiza en forma directa y eficaz, una demostración acabada de la sinrazón del auto denegatorio”.
En efecto, “pretende en esta instancia excepcional de legalidad meritar nuevamente cuestiones de hecho y prueba, propias del mérito y ajenas a la casación”.
Por otro lado, tampoco cumple con un requisito del examen de admisibilidad en cuanto al monto mínimo establecido por Acordada.