Fallo: "Bieniauskas Carlos c/ Banco de la Ciudad de Buenos Aires s/ Ordinario"
Fallo provisto por elDial.com
En Buenos Aires, a los quince días del mes de mayo de dos mil ocho, se reúnen los Señores Jueces de la Sala D de la Excelentísima Cámara Nacional de Apelaciones en lo Comercial de la Capital Federal, con el autorizante, para dictar sentencia en la causa "BIENIAUSKAS CARLOS c/ BANCO DE LA CIUDAD DE BUENOS AIRES s/ ORDINARIO ", registro N° 32.242/2004, procedente del Juzgado N° 18 del fuero (Secretaría N° 36)), donde fue identificada como expediente N° 46.612, en los cuales como consecuencia del sorteo practicado de acuerdo con lo previsto por el art. 268 del Código Procesal resultó que debían votar en el siguiente orden: Doctores: Vassallo, Heredia y Dieuzeide.//-
Estudiados los autos la Cámara planteó la siguiente cuestión a resolver:
¿Es arreglada a derecho la sentencia apelada?
El señor Juez Gerardo G. Vassallo dijo:
I. El señor Juan Carlos Bieniauskas promovió demanda contra el Banco de la Ciudad de Buenos Aires (fs. 41/53), a quien atribuyó responsabilidad por los perjuicios que dijo haber padecido al consumarse cierto hecho ilícito que derivó de la extracción irregular de los fondos que el actor poseía en la caja de ahorros abierta en el Banco demandado.-
Requirió, por ello, que este último fuera condenado a indemnizarlo tanto por los daños materiales que sufrió como por la injuria moral.-
Al reseñar los hechos en que fundó su pretensión, describió la maniobra delictiva de la que fue víctima que permitió a sus autores hacerse del número clave (PIN), de su tarjeta de débito Moderban. Con ese elemento más una tarjeta "melliza" los defraudadores habrían concretado la extracción de los fondos.
Imputó responsabilidad al Banco por no haber adoptado las medidas de seguridad necesarias para evitar estos ilícitos, tanto más cuando estaba en conocimiento de estas maniobras, que según indicó luego habrían sumado 114 hechos comprobados, tres meses antes de la que es materia de estas actuaciones.-
Al comparecer en la causa el Banco de la Ciudad de Buenos Aires (fs. 82/91), pidió el rechazo de la pretensión.-
Reconoció mantener con el señor Bieniauskas una relación contractual de caja de ahorro, y haberle entregado la tarjeta Moderban para operar la misma.-
Mas negó ser responsable de lo ocurrido pues, según postuló, ello tuvo relación directa con la conducta del actor quien voluntariamente facilitó su número clave para extraer fondos en cajeros automáticos.-
En este punto destacó que entre las reglas de seguridad que le fueran comunicadas al actor al tiempo de entregársele el plástico, se encontraba su obligación de no () revelar la clave asignada;; la que además, debía ser cambiada por el usuario en la primera operación.-
Reconoció que un hecho similar fue objeto de la denuncia realizada por el propio Banco el 5 de septiembre de 2003 ante la Justicia Penal, que dio origen a una causa que tramitó ante el Juzgado de Instrucción No. 33 donde fue comprobado el ardid que detalló el actor, aunque pergeñado y ejecutado por terceros sin intervención alguna de la institución aquí demandada o de sus dependientes.-
Negó que las extracciones realizadas de la cuenta del actor entre el 12 y 15 de diciembre de 2003 hubieran sobrepasado el límite diario de $ 1.800, en tanto el contrario también alegó tal hecho como demostración de la inconducta del Banco.-
Para concluir negó toda responsabilidad de su mandante con sustento en los siguientes argumentos: 1) el actor fue quien entregó voluntariamente a terceros su clave de extracción por cajeros automáticos, desatendiendo la reiterada recomendación del Banco de no hacerlo; 2) El Banco actuó correctamente pues al entregar a cada adherente su tarjeta, le hizo saber que desligaba toda responsabilidad si no cambiaba su código de identificación y luego no reservaba adecuadamente tal número del conocimiento de terceros; 3) Al conocer denuncias sobre maniobras similares a la presuntamente sufrida por el actor, realizó lo debido, esto es formalizar la denuncia en sede penal; y 4) Por último dijo haber implementado nuevas medidas de seguridad, al comunicar a sus adherentes que debían contar con dos claves distintas, una para extracción en cajeros, y otra para realizar compras por débito.-
Calificó al actor como la víctima de un delito aunque concretado con total desvinculación del Banco, por lo cual no puede imputársele responsabilidad alguna.-
A todo evento alegó que la acción penal incoada constituía una cuestión prejudicial, lo cual obligaba a aguardar su definición antes de emitir pronunciamiento sobre el fondo de este reclamo.-
II. La sentencia de fs. 617/632 admitió íntegramente la demanda.-
Concluyó que el vínculo contractual establecido entre el Banco y el usuario de productos bancarios (en el caso una tarjeta para operar en cajeros automáticos y de débito) debía encuadrarse como una relación de consumo. Amén de ello, el carácter profesional del Banco impone, al juzgar su conducta, aplicar un estándar compatible con tal calidad.-
Con base en ello, estimó que cabía atribuir a la demandada la responsabilidad de carácter objetiva que emerge de la ley de defensa del consumidor, al señalar que fue el Banco quien creó los riesgos que emergen de la utilización de una tarjeta magnética (sistema que no es seguro según derivó de prueba producida en la causa penal), en pos de mayores beneficios.-
Destacó que, amén del engaño sufrido por Bieniauskas que calificó como "ignorancia legítima", el ilícito se produjo por la duplicación de la tarjeta, elemento que pudo ser logrado por falencias del sistema.-
Por último descartó la imputación que el Banco realizó en su contestación al atribuir al actor o a algún pariente la extracción de los fondos.-
Con base en lo expuesto, condenó al Banco a restituir al actor los importes retirados ilegítimamente, con más intereses, y a resarcirlo por el daño moral que juzgó ocurrido.-
El Banco de la Ciudad de Buenos Aires apeló el fallo en fs. 635, y expresó agravios en fs. 653/663. El actor contestó el traslado que le fue conferido en fs. 666/671.-
La señora Fiscal de Cámara se excusó de dictaminar en el caso.-
La impugnación de la demandada fincó en: a) calificar de errónea la aplicación de la ley de defensa del consumidor; b) estimar también inadecuada la ponderación de la actuación del Banco y, en particular, de las medidas adoptadas; c) sostener que por la interpretación que la sentencia hizo de los hechos, la responsabilidad del Banco fue magnificada con una inadecuada absolución del actor; d) entender desacertado descartar toda relevancia al PIN como medida de seguridad, y haber negado toda eficacia a las medidas adoptadas por el Banco; e) no haber considerado elementos que descartan la responsabilidad del Banco y la negligencia del actor; f) por último calificó de insuficientes los fundamentos desarrollados para estimar que medió agravio moral.-
Efectuada esta somera descripción, cabe ingresar en el estudio del recurso.-
III. Como fue enunciado en el párrafo anterior, el Banco formuló una serie de agravios con los cuales intenta revertir la sentencia condenatoria.-
De la descripción anterior no se advierte que la demandada hubiera reiterado en alzada la invocada prejudicialidad que constituyera el catálogo de defensas procesales y de fondo ensayadas en el escrito de responde a la pieza inicial.-
Esa articulación fue desechada por la sentencia. La omisión de concretar un preciso agravio sobre el punto permite concluir que la institución bancaria ha consentido el rechazo. Tal acatamiento evita, por cierto, efectuar alguna consideración sobre el punto en esta instancia.-
A efectos de dar mayor claridad al discurso que sigue, adoptaré en alguna medida el orden expositivo propuesto por la entidad bancaria al tiempo de desarrollar sus agravios.-
Digo "en alguna medida" pues, como se verá, reuniré en un solo punto varias quejas conceptualmente asimilables.-
Veamos:
a) Postuló la recurrente que el sentenciante aplicó en forma errónea la ley de defensa del consumidor, en tanto sus disposiciones no importan una derogación del sistema de responsabilidad previsto en nuestro código civil.-
Debo señalar, antes de ingresar en el estudio específico del agravio, que el Banco no cuestionó que, en el caso, sean aplicables las disposiciones de la ley 24.240. Menos aún; ni siquiera negó que el cliente bancario pueda ser calificado de consumidor o usuario.-
De todos modos es mayoritaria la doctrina que así lo considera (Farina Juan, "Defensa del consumidor y del usuario", página 103; Trigo Represas F. y López Mesa M., "Tratado de la Responsabilidad Civil" T IV, p. 428; Stiglitz R., "Defensa del consumidor, los servicios bancarios y financieros", LL 1998-C, sección doctrina; Mosset Iturraspe, "El cliente de una entidad financiera -de un Banco- es un consumidor tutelado por la ley 24.240", JA 1999-I, p. 84; entre otros).-
En rigor, la ley de defensa del consumidor regula lo que la propia Constitución Nacional denomina "relación de consumo" (CN 42), y sus disposiciones afectan no sólo normas de derecho civil, sino también comercial, procesal, administrativo, penal, etc, "...para comprenderlas e integrarlas sistemáticamente" (Kemelmajer de Carlucci - Tavano de Aredes, "La protección del consumidor en el derecho privado", Derecho del Consumidor 1991, No. 1 página 11, citado por Farina, obra citada, página 13).-
Así este cuerpo normativo, al regular un tipo de relación específica, incide en el sistema de responsabilidad del código civil, al dictar reglas particulares aplicables a este tipo de vínculo que prevalecen frente a las generales del código de fondo.-
En este escenario, y al tratarse de una ley de orden público (art. 65 ley 24.240), cabe aplicar sus específicas disposiciones dirigidas, en términos generales, a restablecer el equilibrio entre las partes en una relación que por su naturaleza muestra al consumidor como su parte débil.-
Debe recordarse que esta "relación de consumo" habitualmente se concreta por vía de formas de contratación masiva instrumentadas mediante cláusulas predispuestas en donde el consumidor sólo puede limitarse a aceptarlas o, en su defecto, rechazar el convite.-
En este contexto, la ley establece un régimen que la doctrina mayoritariamente ha calificado como de responsabilidad objetiva de la contraparte del consumidor (fabricante, vendedor, prestador de servicio, etc.).-
Así fue entendido por el sentenciante (fs. 625) cuando analizó si, en el sub judice, el pretensor había probado que en el caso se encontraban reunidos los recaudos esenciales que tornaran viable la acción indemnizatoria (existencia de una actuación antijurídica; factor de atribución, existencia de daño y vínculo entre éste y la conducta reprochada).-
Al dar respuesta afirmativa a tal dilema, el señor Juez a quo concluyó que el factor de atribución, en este particular caso, era de carácter objetivo.-
Tal afirmación no fue materia de crítica por parte del Banco. Y ello permite concluir, como ocurrió con otros aspectos del fallo, que el demandado ha concordado con aquella calificación.-
A todo evento, la doctrina como la jurisprudencia con base en lo dispuesto por el artículo 40 de la ley 24.240, han atribuido a la responsabilidad que deriva de la relación de consumo el carácter de objetiva (Farina Juan M., ya citado, página 452; CNCiv., Sala F, 28.4.2004, Cremasco, Eduardo José c/ Wassington S.A. s/ daños y perjuicios; CNCom., Sala A, 6.2.2004, Giolito, Daniel H. c/ Banco de Boston y otro s/ sumario; CNCom., Sala B, 31.8.2001, Lagos Marcela Andrea c/ Ortopedia Alemana S.A.; esta Sala (integrada), 28.12.2004, Safar Retamar, María Elena c/ Industrias Alimenticias Mendocinas (ALCO) s/ ordinario; CNCont. Administrativo Federal, Sala II, 5.11.1998, Ciancio José María c/ Resol. 184/97 -Enargas- (expte. 3042/97) Causa: 26.895/97 AGI).-
En rigor una de las obligaciones primordiales del Banco, que constituye el presupuesto básico de los servicios que ofrece, es que éstos sean brindados, tanto cuando se lo haga en forma personal como cuando lo sea por medio de elementos mecánicos o electrónicos, con total seguridad para el cliente.-
No está de más recordar que los servicios ofrecidos por cualquier Banco inciden directamente sobre el patrimonio del usuario, tanto en sus operaciones pasivas como en las activas (ver por clasificación de las operaciones bancarias a Garrigues J., "Curso de Derecho Mercantil", T. IV, página 165).-
Por tal razón, en particular por ser instituciones autorizadas para recibir los ahorros del público, el Estado regula su actuación mediante estrictas normativas tanto legislativas como de naturaleza administrativa, en pos de brindar seguridad a los ciudadanos respecto de los fondos entregados.-
Congruente con ello, el Banco Central de la República Argentina ha establecido y reiterado en su normativa, la imposición a los Bancos de contar con "mecanismos de seguridad informática" que garanticen la confiabilidad de la operatoria (Comunicación A 3323, 1.7.2.2., último párrafo; Comunicación A 3682, 4.8.6.2; Comunicación A 4272, 2.1.1.6).-
En el caso, se ha imputado al Banco demandado responsabilidad por el vicio que presentaría el sistema informático que opera para la prestación remota de servicios, enfocado en el caso, en la red de cajeros automáticos.-
En este contexto, la doctrina ha enseñado que la obligación de seguridad que deriva de la aptitud del producto para el uso al que está destinado es de carácter objetivo (Bustamante Alsina, Jorge A., "Responsabilidad civil por productos o defectuosos", LL 1992-E-1069), concepto que a mi juicio puede extenderse aquí a la seguridad del servicio que es puesto a disposición del usuario bancario. Así, el deudor para eximirse de responsabilidad debe demostrar culpa de la víctima, el hecho de un tercero por el cual no deba responder o la ocurrencia de caso fortuito o fuerza mayor, es decir, la existencia de una causa ajena que interrumpa o desvíe el curso de la acción causal (SC Buenos Aires, 22.6.1965, in re "Demaría, Angel c/ Restaurante Abruzzese y otro", LL 119-383).-
El sistema de responsabilidad objetiva es, en el caso de la relación de consumo, similar en sus alcances al que deriva del artículo 1113 del código civil.-
En rigor, aún cuando no fuera aplicado el régimen de la ley 24.240 sino el ordinario del código civil, como parece postular el Banco recurrente al sostener la errónea aplicación de la normativa específica, la solución no variaría en punto a la responsabilidad objetiva del Banco.-
En mi opinión podría aplicarse sin mayores reparos la indicada norma del código de fondo (art. 1113 del código civil) en tanto el Banco de la Ciudad de Buenos Aires ostenta la calidad de dueño o, cuanto menos, de guardián del sistema informático que opera los cajeros automáticos de su red.-
Entiendo evidente que el sistema (software y hardware) que permite operar una red de cajeros automáticos puede ser calificado de cosa riesgosa.-
En rigor esta calificación puede ser asignada, en este punto, al sistema informático que opera las transacciones remotas, sea mediante el denominado home banking sea por el uso de cajeros automáticos.-
No ignoro que alguna jurisprudencia penal había excluido a la destrucción total o parcial de un archivo informático, como su inutilización mediante el uso de virus, del tipo penal previsto por el artículo 183 del código represivo.-
En ese caso la Cámara Penal entendió que el documento electrónico no encuadraba en el concepto de cosa previsto por el artículo 2311 del código civil (CNCrim. y Correccional Sala VI, 30.4.1993, Pinamonti, JA 1995-III-236, citado por Caro Rodrigo, "El archivo almacenado en soporte informático como objeto de delito de daño, artículo 183 del código penal", LL, T. 2004 A, 1436).-
A igual conclusión arribó la Justicia Federal al absolver a quien había violado la página de Internet de la Corte Suprema de Justicia, por estimar que tanto la página Web como los datos o sistemas informáticos no eran cosa en tanto por su naturaleza no son objetos corpóreos ni pueden ser detectados materialmente (Juz. Federal Criminal y Correccional N° 12, 2.3.2002, "G., M. H. y otros" Zeus 89-J-558; citado en Bueres Alberto - Highton E, Código Civil, T. 5 A, página 12/13).-
En sentido divergente, la Sala I del mismo Tribunal de Apelaciones, asimiló el correo electrónico a la correspondencia epistolar, en tanto condenó a quien había ingresado a una casilla de e-mail ajena sin orden judicial, por entenderlo correspondencia privada (CNCrim. y Correccional Sala I, 11.2.2003, "Grimberg Alfredo H. s/ sobreseimiento"[Fallo en extenso: elDial - AA1B4F]). Así, a diferencia de lo sostenido en el fallo anterior, éste concedió a ese documento electrónico cierta materialidad compatible con el concepto de cosa.-
La doctrina ha cuestionado la exclusión del documento electrónico del concepto de cosa.-
Ha dicho que "...sólo puede intepretarse que algo que puede modificarse debe ser una cosa, ya que sería insostenible hablar de alteración de algo que no sabemos qué es; por otra parte, en cuanto a la corporeidad, la página web claramente ocuparía un lugar en el espacio, al ser un conjunto de instrucciones y algoritmos que se almacenan en el disco rígido del servidor de Internet para ser visualizados, ocupando un lugar en el espacio que no puede ser utilizado al mismo tiempo por otra página Internet..." (Bueres Alberto - Highton E, Código Civil, T. 5 A, página 13).-
Por último, si se ha reconocido a la energía eléctrica, la señal de cable o el pulso telefónico como cosas, sería inaceptable que se excluya de tal categoría al documento electrónico (Prividera, "La página web debe ser considerada como cosa en materia penal, Zeuz, 89-565, citado por Bueres Alberto - Highton E, Código Civil, T. 5 A, página 12/13).-
A todo evento cabe señalar que en el caso, nomino como cosa riesgosa al "sistema informático" que permite concertar negocios y obtener servicios bancarios en forma remota. Y tal "sistema" es un conjunto de elementos materiales (hardware: servidores, cableado de datos y electricidad, cajeros automáticos, tarjetas magnéticas, etc.) que califican como cosa aún desde una interpretación restrictiva de tal concepto.-
Estos elementos "físicos" o "atómicos", como lo califican algunos autores por estar formados por átomos, son complementados por otros elementos digitales (software), que contienen las instrucciones para que aquellos medios mecánicos o electrónicos cumplan las tareas para las cuales han sido diseñados.-
Entiendo claro que un sistema informático constituye una cosa en el sentido asignado por el artículo 2311 del código civil.-
Ya fue dicho que el documento electrónico, sea un mero texto digital un software o una página web, tiene cierta corporeidad que permite su asimilación al concepto clásico de cosa.-
De todos modos, como enseña Borda, aún cuando la ley no diga que las energías (eléctrica, atómica, magnética, etc.) sean cosas, al atribuirles la misma condición jurídica ("Las disposiciones referentes a las cosas son aplicables a..."), les reconoce la calidad de tales (Borda G. A., "Tratado de Derecho Civil, Parte General, T. II, página 32).-
Igual conclusión cabe asignar al documento digital el cual, al igual que las energías, son mensurables y poseen un contenido económico susceptible de goce y disposición que se asimila a las cosas.-
Negar que estos documentos de amplia difusión y algunos de ellos de trascendente valor económico no puedan ser asimilados a una "cosa" sólo puede ser imaginado en un contexto de grosera irrealidad y de acuerdo a una interpretación por demás restrictiva del concepto que ingresa en la arbitrariedad.-
Máxime cuando nuestra legislación ha reconocido y regulado su existencia asignándole iguales efectos que un documento "físico" (ley 25.506; artículo 6: "Documento digital. Se entiende por documento digital a la representación digital de actos o hechos, con independencia del soporte utilizado para su fijación, almacenamiento o archivo. Un documento digital también satisface el requerimiento de escritura"; el subrayado me pertenece).-
Reitero, nadie discute hoy que un software es un bien susceptible de tener un valor.-
Desde esa óptica tanto un sistema informático (conjunto integrado de hardware y software) como el programa de aplicación tienen un valor significativo si nos referimos al que permite la operación de un sistema bancario.-
De allí que pueden calificarse sin dudas como cosa al "sistema informático" que opera la red de cajeros automáticos de la aquí demandada.-
A partir de este concepto, cabe analizar si se trata de una cosa "riesgosa", a fin de aplicar la responsabilidad objetiva prevista por el artículo 1113 del código civil.-
Georges Ripert al intentar brindar una calificación o un modo de encuadrar una cosa como riesgosa sostuvo que el artículo 1384 del Código de Napoleón, antecedente de nuestro articulo 1113, sólo sometidas a la necesidad de una guarda, en razón del peligro que ofrecen para otros (citado por Trigo Represas F. - López Mesa M., "Tratado de la Responsabilidad Civil, T. III, página 309).-
Luego la Cámara Civil de la Corte de Casación francesa, fallo citado en igual página del referido Tratado, sostuvo congruente con lo postulado por el autor referido, que "...basta (para la aplicación del art. 1384) que se trate de una cosa sometida a la necesidad de guarda en razón de los peligros que la misma puede ocasionar a otros" (21.2.1927, Jean d'heur c/ Les Galeries Belfortais).-
Si bien comparto con la doctrina mayoritaria que la calidad de cosa riesgosa debe ser analizada en cada caso, en punto a si efectivamente lo generó en el caso, (es distinto un automóvil estacionado que otro lanzado a alta velocidad), podría sostenerse que un sistema informático en actividad que permite realizar pagos y extracciones de fondos de una cuenta bancaria y que opera de forma remota es naturalmente una cosa riesgosa,
El riesgo se evidencia tanto para el usuario como para el Banco quien, por las propias características de su actividad, está expuesto a eventuales ataques de terceros.-
De todos modos, un análisis puntual del caso nos lleva a igual conclusión.-
La sentencia lo ha calificado como tal y ha basado tal conclusión en el testimonio del señor Jorge Repetto, coordinador de seguridad informática y gerente del área de análisis de riesgo y fraudes (fs. 579:pregunta 1).-
La calidad profesional de este testigo está revelada por el cargo que detenta, lo cual permite asignar a sus dichos una importancia superlativa.-
La descripción realizada por éste de la maniobra delictiva que sufrió el aquí actor (respuesta tres) refleja la falibilidad del sistema en tanto "el cuento del tío", como lo calificó en su respuesta quinta, pudo ser concretado con la colaboración de una línea telefónica y un grabador de audio.-
Curiosamente, nada dice sobre la necesidad de contar con una tarjeta magnética similar a la entregada a Bieniauskas que en el caso, fue duplicada en forma dolosa.-
Pero sustancialmente, como también lo destacó el sentenciante, la fragilidad del sistema quedó demostrada por el número de fraudes que, en un escaso tiempo, pudieron ser concretados mediante idéntica operatoria delictual (144 según los denunciados en sede penal).-
El mentado testigo destacó que "...la variedad de fraudes es amplia. La variedad de 'ingeniería social', por medio del 0800 o el 'cuento del tío' es una de las formas" (fs. 580:pregunta 5).-
Los constantes ataques a las bases de datos informáticas, en particular aquéllas con contenido económico, son habituales y han requerido de un constante perfeccionamiento de las medidas de seguridad.-
Las estafas "on line" que son realizadas mediante la navegación por Internet son objeto de constante estudio.-
Como ejemplo de las más novedosas se encuentra el "phishing" y el "pharming".-
En el primer caso, los "phishers", así son denominados estos estafadores, simulan pertenecer a entidades bancarias y solicitan a los cibernavegantes los datos de tarjetas de crédito o las claves bancarias a través de un formulario o un correo electrónico con un enlace que conduzca a una falsa página web con una apariencia similar a la original.-
En cambio el pharming es una maniobra mas sofisticada y peligrosa que se encauza mediante la manipulación de las direcciones DNS.-
En este caso mediante un correo vacío sobre el que se "clickea" se instala un programa que engaña al navegador del usuario y lo deriva a direcciones falsas.-
Al ser engañado, el usuario ingresará sus datos confidenciales sin temor, en tanto desconoce que los está enviando a un delincuente (Monastersky Daniel y Costamagna Clara, "Phishing - Pharming: nuevas modalidades de estafas on line" [Doctrina publicada en: elDial - DCA92]; publicado el El Dial.com doctrina).-
Es claro, entonces, que el sistema informático que maneja en ingreso remoto de clientes al sistema bancario es una cosa riesgosa; situación que resalta con claridad en el caso en estudio, pues mediante un simple ardid ciertos terceros lograron defraudar a más de una centena de clientes.-
De allí que, aún cuando fuera acogida la queja del Banco demandado en punto a la errónea aplicación de la ley de defensa del consumidor, a igual conclusión podría llegarse de aplicar el régimen "ordinario" previsto por el artículo 1113 del código civil.-
En ambos casos, sea que se invoque el régimen de la ley de defensa del consumidor (ley 24.240:art. 40), como de aplicarse el código civil (art. 1113), se arribará a igual resultado: asignar al Banco responsabilidad por lo ocurrido en tanto ambos supuestos prevén un sistema objetivo en esa materia.-
De allí que el Banco para liberarse de esa responsabilidad objetiva, debe probar que el perjuicio derivó de la exclusiva culpa de la víctima, o del hecho de un tercero por quien no debe responder.-
En esa tarea, el Banco recurrente desarrolló los agravios que identifica bajo los números dos a siete a efectos de demostrar la responsabilidad del actor y la adopción por su parte, de medidas idóneas de seguridad.-
En su discurso la entidad demandada predica su conducta profesional y cuidadosa en punto a brindar seguridad a los usuarios de sus cajeros automáticos; amén de destacar la negligente actitud de Bieniauskas al revelar a terceros su número clave.-
Entiendo entonces que estos agravios pueden ser analizados en forma sustancialmente conjunta aunque dividiendo el estudio en punto a considerar primero la atribuida culpa de la víctima, para luego analizar si existió intervención decisiva de un tercero que autorice a eximir de culpa al Banco quejoso.-
b) Culpa de la víctima:
La doctrina ha señalado que la "culpa de la víctima" debe reunir sustancialmente los alcances previstos por el artículo 1111 del código civil.-
Así la intervención de la víctima, trátese de una conducta voluntaria o involuntaria, debe ser causa adecuada del daño, amén de ser cierto y no imputable al demandado (Cifuentes Santos, Código Civil, Comentado y Anotado, T. I, página 880).-
En tal caso el protagonismo de la víctima interrumpe la cadena de causalidad que llevaría a imputar al Banco responsabilidad sobre el hecho en estudio.-
La Corte Suprema de Justicia ha sido más estricta en este punto. Ha sostenido que para que sea aplicable la excepción a la regla del artículo 1113 apoyada en la conducta de la víctima, debe acreditarse que la culpa de esta debe revestir las características de imprevisibilidad e inevitabilidad propias del caso fortuito o fuerza mayor (CSJN, 11.5.1993, Fernández, Alba O. c/ Ballejo, Julio A. y otra, LL 1993-E, 472).-
Adelanto que, en el caso, no ha sido probado que la actuación de Bieniauskas hubiera tenido la entidad para eximir al Banco de su responsabilidad.-
En el escrito de demanda el actor reconoció haber revelado el número "PIN" (sigla que refiere al "personal identification number" o "password"; en su versión castellana al código de identificación de acceso o clave personal) al ser sorprendido por terceros quienes mediante argucias obtuvieron que develara ese número secreto.-
Es indudable que el conocimiento de ese dato facilita la maniobra delictiva que a partir de allí se produjo.-
También lo es que tal actuación constituye una infracción a normas administrativas (Comunicación A 2530 del BCRA) que el Banco debió informar a su cliente al entregarle el plástico para operar con cajeros automáticos o utilizarla como tarjeta de débito.-
Esta obligación del Banco ha sido reiterada por otras disposiciones del Banco Central (Comunicación A 3323 y 4272), y cabe entenderla cumplida en el caso. Así lo indicó la sentencia y tal conclusión no fue objeto de reproche por parte del actor.-
Por lo demás, es un hecho notorio que tal recomendación (no revelar su número clave a terceros o no digitar su PIN en presencia de personas extrañas), es constantemente anunciada en la pantalla de los cajeros automáticos al operar con ellos.-
No está de más recordar que tal clave (numérica en el caso), ostenta la calidad de firma electrónica, a la luz de lo dispuesto por la ley 25.506 (artículo 5).-
Si bien no tiene los mismos efectos de la firma digital (art. 3 de la norma citada), no puede ignorarse que tal clave tiene amplio uso en nuestra vida diaria amén de tener por finalidad, bien que no única, la identificación del cliente, como ocurre con la firma ológrafa.-
De hecho, esta clave personal o firma electrónica es constantemente utilizada para múltiples actividades, muchas de ellas de claro contenido económico. Uso que se ha generalizado a partir de la llamada "bancarización".-
No sólo permite realizar múltiples transacciones a través del cajero automático, sino compras o pagos de servicios mediante su combinación con la tarjeta de débito o de crédito, la conexión "on line" con el Banco para realizar transacciones remotas (home banking), acceso a bases de datos por vía de Internet, etc.-
En rigor, hasta la clave que utilizamos para ingresar en una red local y así operar el sistema de gestión aplicado a una determinada tarea, ora en la función pública ora en la empresa privada, es una firma electrónica con los alcances ya indicados, en tanto nos identifica como usuarios del sistema y nos habilita para operar, con cierto nivel de seguridad, el sistema al que accedemos. También permite que, frente a una auditoria, pueda ser atribuida responsabilidad al usuario que infringió normas internas o utilizó el recurso para finalidades impropias.-
Así, aún soslayando la normativa administrativa que en el caso emitió el Banco Central de la República Argentina, considero un hecho notorio tanto la trascendencia económica de la clave o PIN como la necesidad de no ser divulgada.-
De igual manera que a nadie se le ocurriría entregar a un tercero un papel con su firma manuscrita y menos si tal "papel" es un formulario de cheque, lo mismo debería ocurrir con la firma electrónica y, en algún tiempo, con la ya inminente firma digital.-
Es posible que en nuestro país exista cierta ignorancia o, cuanto menos, una insuficiente conciencia masiva sobre la trascendencia que, en nuestra adolescente sociedad digital, tiene tanto la firma electrónica como la digital.-
Se trata, a mi juicio, de un cambio cultural que como tal, requiera de un tiempo mayor en tanto exige adoptar o cuanto luego consolidar, conductas que hasta el inicio de esta "era digital" eran inimaginables.-
Empero este necesario ciclo de concientización no permite por si sólo eximir al usuario de toda responsabilidad; aunque tampoco liberar al Banco de las consecuencias de lo acontecido en este período de transición.-
Se trata de un hecho de la realidad que debe servir al Juez para analizar de forma más certera la conducta de las partes en litigio.-
Pero también esta verdad sociológica debe ser atendida por el empresario que ofrece un servicio ejecutable por medios informáticos, a fin de evaluar las medidas de seguridad que debe implementar frente a los concretos riesgos, tanto técnicos cuanto culturales, que la comunicación remota pudiera generar.-
Dicho ésto concentraré mi discurso en el análisis de lo ocurrido en el sub judice y las consecuencias jurídicas que pueden derivarse para las partes.-
Como fue dicho, el actor reconoció haber revelado a terceros su clave personal o "PIN".-
Es evidente que, conforme he dicho, ello constituyó una infracción a las reglas previstas por la Comunicación A 2530 del BCRA.-
Sin embargo tal conducta irregular no alcanza para liberar al Banco de su responsabilidad con sustento en la culpa de la víctima.-
Ya he señalado que la oferta de servicios bancarios por medios electrónicos se ha generalizado hace algunos años.-
Realizar hoy transacciones en forma remota y por acceso vía Internet no es hoy una novedad.-
Tampoco lo es que mediante el uso de cajeros automáticos se concreten depósitos o extracciones de efectivo, transferencias o pagos de servicios.-
Esta oferta "básica" es ampliada en forma constante, al punto de poder obtenerse créditos por vía del cajero automático mediante la opción "solicitud de préstamos" y seleccionando luego monto y plazo de pago.-
Este servicio, que ha sido implementado por varios Bancos, fue anunciado en su tiempo por el ex Ministro de Economía de la Nación (Martín Lousteau) cuando era presidente del Banco de la Provincia de Buenos Aires.-
Mediante el uso del cajero automático, 850.000 personas titulares de cuenta sueldo, fueron preclasificadas para acceder a estos préstamos inmediatos.-
Así, según la descripción del nuevo servicio ofertado, dentro de las 24 o 48 horas de la solicitud su requerimiento podía ser aprobado y depositado el importe en su cuenta, el que podría ser utilizado mediante su tarjeta de débito o su extracción en efectivo (ver www.parlamentario.comhttp://www.parlamentario.com, 12.10.2007).-
El ejemplo que acabo de señalar, bien que referido a un solo Banco y una operatoria, expresa con claridad la multiplicidad de servicios y contratos bancarios que pueden realizarse por este medio; amén de la trascendencia que el uso del "cajero automático" adquirió tanto para la entidad bancaria, cuanto para el cliente o usuario.-
Como puede advertirse al concurrir a cualquier local bancario, las filas frente a las ventanillas han disminuido drásticamente a partir del uso de medios telemáticos para realizar las transacciones que antes requerían de una gestión personal o de concurrir a la "caja" (ventanilla) de un Banco.-
De hecho la arquitectura de esos locales se ha visto modificada priorizando la atención personalizada del cliente (la que se realiza en escritorios dispuestos a tal fin) antes que la concurrencia masificada que requería de una extensa línea de cajas.-
En este mismo sentido, una nota periodística publicada años atrás, revelaba que antes de la crisis del 2001 las transacciones por tarjeta de débito rondaban los 12 a 13 millones de pesos mensuales, mientras que luego de aquel evento, habían trepado a 400 millones en igual período. De su lado sólo el 3% al 5% de los clientes de un Banco utilizaban el home banking, mientras que luego de diciembre de 2001 su uso alcanzó al 25% a 30% (García Terán, Marta, "Lejos del Banco y más cerca de la máquina", La Nación 18.1.2004, página 16).-
Entiendo que de hacerse hoy una nueva evaluación, los porcentajes de uso de estos medios electrónicos serían largamente superiores a los publicados hace sólo cuatro años.
Todos estos elementos, que revelan una reingeniería en la prestación de los servicios bancarios y un incipiente pero constante cambio cultural hacia el uso de medios informáticos, son trascendentes para interpretar la conducta de las partes y la responsabilidad que sigue frente a un hecho irregular como el aquí analizado.-
Cabe reparar que el Banco al ofrecer a sus clientes un nuevo modo de relacionarse comercialmente con él, debe procurar como mínimo, brindarle igual seguridad que si tal operatoria se realizara personalmente.-
Esa seguridad no está dada prioritariamente por el local donde el usuario interactúa con el cajero automático o la custodia policial del lugar sino esencialmente por la confianza que brinda el medio empleado. Confianza que no sólo radica en el uso de una clave personal y única, sino también por la esperable inviolabilidad de la tarjeta magnética entregada como del software utilizado por el Banco.-
Todo ello constituye un "sistema informático" que se pone a disposición del cliente y que debe brindar, como adelanté, suficiente confianza para que su uso sea aceptado.-
De hecho la normativa dictada por el Banco Central de la República Argentina exige a los Bancos "...tener implementado mecanismos de seguridad informática que garanticen la genuinidad de las operaciones" (Comunicación A 3323, 1.7.2.2.).-
Pero, mas allá de la norma administrativa, la responsabilidad del Banco es nítida en punto a la confiabilidad del sistema, en tanto es la propia entidad la que lo ofrece e impone, en tanto el usuario no puede optar por otro si desea operar sea mediante el uso de cajeros automáticos como por vía del "home banking".-
Caben entonces algunas reflexiones en punto a la culpa de la víctima.-
Ya he dicho que el señor Bieniauskas reconoció haber revelado su número clave o PIN a quienes luego habrían sido autores del ilícito.-
Sin embargo, ni siquiera el Banco acusó al actor de haberlo hecho de manera voluntaria y conciente en punto a la finalidad buscada por los estafadores.-
Por el contrario, mediante un engaño, el actor brindó su número clave con el propósito de resguardar su patrimonio que, según se le estaba expresando de forma convincente, estaba siendo agredido por terceros mediante el uso de una tarjeta apócrifa.-
La sencillez de la maniobra no perjudicó su poder de convicción.-
Como lo ha expresado el propio encargado de seguridad informática del Banco, y confirmado por la Justicia Penal, el actor fue llevado a la creencia de que se estaba comunicando con el teléfono oficial del Banco o de Moderban en tanto marcó, en la segunda llamada, el número que se encontraba impreso al dorso de su tarjeta de débito.-
La metodología empleada fue por demás eficaz en tanto logró engañar a casi ciento cincuenta personas (a juzgar sólo por aquéllas que efectuaron denuncia penal). Ello revela que no se trató de un defecto o una marcada negligencia del actor. La masividad del embuste convence no sólo de su eficacia, sino también de la escasa posibilidad de ser advertido.-
Pero aún cuando se excluya el concepto de culpa para juzgar la conducta de la víctima y se priorice la de autoría (Pizarro Ramón D., "Responsabilidad Civil por Riesgo Creado y de Empresa", T. I, página 248/249), la solución no variaría.-
Como ha sido dicho, la autoría del ilícito que fue el generador principal del daño causado al actor, recae en los defraudadores que idearon el ardid para obtener el número clave de numerosos usuarios de la tarjeta del Banco demandado.-
Pero además, y esto es imprescindible destacarlo, obtuvieron los medios para poder duplicar la tarjeta de débito de estas numerosas víctimas, lo cual les permitió con esta conjunción de elementos, hurtar los fondos depositados en el Banco recurrente.-
Nada digo sobre la obtención de los datos identificatorios de cada usuario agredido, como su número telefónico a fin de realizar el engaño.-
Si bien la sentencia arroja alguna duda sobre la intervención de personal del Banco para facilitar conocer este necesario elemento, nada puede ser imputado en este sentido por carecer de prueba que así lo sostenga.-
De todos modos la posibilidad técnica de "duplicar" las tarjetas no sólo revela la falibilidad del sistema, y nuevamente su calidad de cosa riesgosa, sino también la irrelevancia de la conducta del actor en el punto.-
Es que el hecho de la víctima debe ser causa adecuada y exclusiva del daño para que habilite eximir al dueño o guardián de la cosa (Pizarro Ramón D., "Responsabilidad Civil por Riesgo Creado y de Empresa", T. I, página 245).-
Ni siquiera puede ser juzgado como concausa del ilícito en tanto lo esencial para su producción fueron, a mi juicio, los conocimientos técnicos de los defraudadores para vulnerar el sistema informático. Ello amén de los datos identificatorios de cada usuario, que tampoco derivaron del hecho del aquí actor.
De allí que debo descartar el hecho de la víctima como causal de exoneración del Banco recurrente.-
c) Hecho de un tercero:
En este punto seré breve.-
El artículo 1113 del código civil exime al dueño o guardián de la cosa cuando el daño se produjo de modo excluyente por el hecho de "...un tercero por quien no debe responder".-
El artículo 40 de la ley 24.240, prevé una causal que describe más genéricamente. Dicha norma predica que "sólo se liberará total o parcialmente quien demuestre que la causa del daño le ha sido ajena".-
En ambos casos es requerido que el hecho de un tercero no sea imputable al aquí demandado.-
Y dentro de este concepto, algunos autores requieren que el hecho del tercero sea inevitable e irresistible; aunque para otra doctrina basta que "...el hecho no sea imputable a la acción u omisión del demandado..." (Pizarro Ramón D., "Responsabilidad Civil por Riesgo Creado y de Empresa", T. I, página 276).-
En cualquiera de ambos casos, el hecho de estos terceros (quienes violaron el sistema informático bancario), carece de aptitud para liberar al Banco de su responsabilidad.-
El robo o hurto de un local bancario, hipótesis que se extiende a un cajero automático que no es más que otra ventanilla -en este caso electrónica-, es un hecho previsible y por tanto objeto de resguardos por el Banco.-
Como se ha dicho, la normativa del Banco Central de la República Argentina no sólo brinda instrucciones a los Bancos en materia de seguridad en sus locales sino también en lo relativo a las transacciones electrónicas.-
Específicamente, como se ha dicho, las comunicaciones A 3682 y A 4272 prevén específicas reglas en punto a la seguridad de las operaciones realizadas por medio de cajeros automáticos.-
Así mal puede sostenerse que este hecho no pudiera ser previsto por el Banco. En rigor debía ser objeto de particular atención por la entidad bancaria en orden a ofrecer a sus clientes la suficiente seguridad para evitar los previsibles y reiterados, como se ha visto, ataques de delincuentes.-
Agresiones que podían concretarse mediante ataques físicos como electrónicos.-
Al no hacerlo, o fallar en el intento, el hecho de estos terceros no permiten eximir al Banco de su clara responsabilidad.-
d) Calidad profesional de la actividad bancaria:
Si bien lo expuesto parece suficiente para confirmar la sentencia en estudio, me parece necesario destacar, como lo hace la sentencia, en el carácter profesional del Banco, lo cual le impone una responsabilidad mayor (artículo 902 del código civil; CSJN, 11.12.1986, Inverfin Cía. Financiera S.A. c/ Provincia de Buenos Aires;; LL 1987-C, 144).-
En rigor existe una relación de superioridad entre el experto y el profano que no puede ser soslayada al tiempo de juzgar sus conductas dentro de una acción de resarcimiento.-
Esta superioridad se derrama en las relaciones contractuales tanto en lo relativo a su faz jurídica (contratos predispuestos) como a la especialidad técnica, en el caso, del Banco (Alterini A., "Responsabilidad profesional: el experto frente al profano", LL 1989-E, 847).-
Como he dicho, tal superioridad permite al Banco imponer sus condiciones jurídicas mediante contratos de adhesión (Moeresmans Daniel, "Contratación bancaria y ley de defensa de los consumidores", LL 1997-E, 1267), como por la imposición de los medios para operar con él. Entre ellos los medios electrónicos que permiten realizar múltiples operaciones con la cuenta abierta en la institución.-
De hecho importantes Bancos de plaza (vgr. Banco de Galicia), no admiten que cobros inferiores a los $ 1.000 o depósitos menores a los $ 3.000 se realicen por ventanilla. Estos deben realizarse mediante los cajeros automáticos o los "buzones electrónicos" existentes en el vestíbulo de cada local. Así lo advirtió este vocal hace escasos días al leer los carteles puestos en una sucursal del mentado Banco (Cerrito y Lavalle).-
Por tanto las normas han establecido reglas, tanto en el código civil cuanto en la ley de defensa del consumidor, orientadas a restablecer la igualdad entre las partes privilegiando el "favor debilis".-
La peculiaridad de la relación Banco-cliente genera estas reglas de interpretación que permiten una visión más rigurosa de la conducta del Banco en tanto su calidad de profesional y experto en la actividad bancaria.-
En definitiva, son las entidades bancarias quienes se encuentran en una posición ventajosa frente al usuario en tanto ostentan la información y todas las aptitudes técnicas para ofrecer seguridad y en su caso, brindar la prueba que otorgue al Juez un cabal conocimiento de lo ocurrido (Trigo Represas F. y López Mesa M., "Tratado de la Responsabilidad Civil" T IV, p. 433).-
A su vez se encuentran autorizadas por el Estado para tomar los ahorros públicos, lo cual les exige un mayor cuidado en su actividad y un particular celo en el cuidado de los bienes que le son puestos a su cuidado.-
Todo ello, como dije, permite juzgar sus conductas con mayor rigor lo cual descarta revocar el fallo en estudio.-
e) Consideraciones accesorias:
Antes de concluir quiero realizar algunas consideraciones puntuales respecto de ciertos agravios propuestos por la entidad demandada.-
(I) No puede preguntar el Banco cuál fue su actitud negligente o culpable en tanto su responsabilidad es de carácter objetivo. A todo evento, ha sido demostrado en la causa que su sistema informático fue falible, lo cual lo vuelve incumplidor de sus obligaciones legales y administrativas.-
(II) Este juez no desconoció la relevancia del PIN en la operación de la utilización de cajeros automáticos. Sin embargo, ya fue analizado que la conducta del actor no constituyó una causa eficiente y excluyente para la concreción de ilícito.-
(III) El desdoblamiento de la clave, una para operar en cajeros automáticos y otra como tarjeta de débito, no constituyó una medida eficiente para evitar defraudaciones como la aquí analizada. En rigor, el recurrente no explica de qué modo esta nueva medida pudiera incidir negativamente en la actividad delictiva.-
IV. Debo analizar un último agravio, diverso de los tratados en el punto anterior.-
El Banco ha impugnado los fundamentos que abonaron la condena por daño moral por sentirlos insuficientes.-
No advierto que tal imputación sea certera.-
El señor Juez a quo ha sustentado en derecho su conclusión de aplicar un resarcimiento por daño moral en el ámbito contractual, amén de los fundamentos relativos a la existencia de tal injuria.-
De todos modos entiendo evidente que la sorpresiva desaparición de sus ahorros de una cuenta bancaria genera suficientes aflicciones a su titular como para generar un daño moral.-
Daño que se profundiza al tiempo de advertir que el Banco no ha adoptado las medidas de seguridad que le eran obligatorias a pesar de conocer que su sistema informático era objeto de reiterados ataques.-
Como he repetido a lo largo de este voto, la Justicia de Instrucción comprobó la existencia de 144 ataques lo cual genera un clima de notoria inseguridad en el cliente bancario, hipótesis que no debería existir en esta actividad.-
Por último este agravio se acentúa aún más al advertir el cliente que a pesar de las reiteradas e ignoradas agresiones a su sistema informático, el Banco no atendió los reclamos del usuario. Por el contrario, le atribuyó la culpa de lo sucedido.-
Todo ello justifica la condena criticada aún por un monto que debería ser más contundente al impuesto en la instancia anterior.-
Empero, en tanto no existe impugnación del actor en este aspecto, esta Sala carece de jurisdicción para proponer la modificación del quantum del resarcimiento.-
V. Las costas de esta instancia deberán ser soportadas, a mi juicio, por el Banco recurrente en su calidad de vencido (cpr. 68).-
VI. Por todo lo hasta aquí expuesto, propongo a mis distinguidos colegas confirmar la sentencia en estudio e imponer las costas de alzada a la demandada vencida.-
Así voto.-
Los señores Jueces de Cámara doctores Juan José Dieuzeide y Pablo Damián Heredia adhieren al voto que antecede.-
Concluida la deliberación, los señores Jueces de Cámara acuerdan:
(a) Confirmar la sentencia de la anterior instancia.-
(b) Imponer las costas de Alzada a la demandada vencida.-
(c) Diferir la consideración de los honorarios hasta tanto sean regulados los correspondientes a la anterior instancia.//-
Fdo.: Gerardo G. Vassallo - Juan J. Dieuzeide - Pablo D. Heredia
Germán Taricco Vera, Prosecretario Letrado