• 26/12/2024

Cómo opera la responsabilidad ante las ciberestafas bancarias

En la mayoría de los casos, terceras personas ingresan al home banking, tramitan un crédito y lo triangularon hacia otra cuenta externa
23/08/2021 - 09:01hs
Cómo opera la responsabilidad ante las ciberestafas bancarias

A diario tomamos conocimiento que muchos ciudadanos han sido víctimas de una ciberestafa bancaria.

En la mayoría de los casos, terceras personas ingresaron al home banking de un usuario del sistema financiero y tramitaron un crédito- tal como si lo hubiese realizado el titular de la cuenta- y, una vez adjudicado, lo triangularon hacia otra cuenta externa desviando ilícitamente el importe otorgado por la entidad.

Cómo opera la responsabilidad ante las ciberestafas bancarias

Ante estas situaciones recurrentes nace la impotencia para el cliente de una entidad bancaria que se traduce en dos aspectos:

  • El primero, es el encontrarse con la situación donde terceras personas ingresaron a sus cuentas vulnerando todo tipo de protocolos de seguridad.
  • El segundo, es la respuesta generalizada de los bancos, tomando distancia del suceso, haciendo creer que fue un hecho ajeno a la entidad, dando cuenta que el mismo se circunscribiría en un ilícito entre terceros -la víctima (el cliente del Banco) y el ciberdelincuente-, pretendiendo el Banco quedar indemne de responsabilidad.

Adelanto que, ante una ciberestafa, el Banco es responsable por la vulneración que realizan terceras personas (delincuentes) de las plataformas de la entidad que utilizan sus clientes.

En efecto, la Entidad diseña sus plataformas operativas, obliga a su utilización e impone requisitos que previamente fija unilateralmente para que el cliente pueda acceder a operar vía internet (instruye cómo llevar adelante una modalidad de ingreso, estipula los requisitos que debe contener la clave de acceso, instruye que se cambie esa clave periódicamente, entre otras).

Ahora bien, si a pesar de todos los recaudos, el sistema es vulnerable, los efectos nocivos de dicha vulnerabilidad no pueden bajo ningún concepto trasladarlos al cliente, tal como así lo realizan sistemáticamente.

En efecto, detectada la maniobra delictiva realizada en la cuenta del usuario del sistema financiero, el Banco obliga a éste a abonar el monto que fue desviado ilícitamente (sea un préstamo, una transferencia, u otra operación).

Ante ello, el 1 de julio del año en curso el Banco Central de la República Argentina (BCRA), publicó en su propio sitio web la obligatoriedad que le exige a las entidades financieras de verificar fehacientemente la identidad de las personas que solicitan la acreditación de créditos preaprobados a través de los canales electrónicos a fin de reforzar las normas de seguridad.

Marcelo H. Echevarría - Abogado (UBA)
Marcelo H. Echevarría - Abogado (UBA)

Sostiene dicha publicación que la verificación por parte de los Bancos deberá realizarse mediante técnicas de "identificación positiva" lo que refuerza la obligación que ya posee la entidad financiera respecto a la responsabilidad de detectar engaños de ingeniería social.

Ese paso previo obligatorio consistente en la denominada "identificación positiva" tiene como finalidad que el Banco arbitre todas las medidas de seguridad de manera automática luego de solicitada la línea crediticia con el objetivo de asegurarse que sea su cliente el solicitante.

Esto puede efectivizarse constatando dicha solicitud mediante un llamado telefónico, el reconocimiento facial, o con cualquier método que procure la debida inmediatez con el usuario del sistema financiero, lo cual le asegure al Banco de manera certera e inequívoca que el crédito fue solicitado por el usuario y no por un ciberdelincuente.

Recién después de realizada la antedicha verificación o "identificación positiva", el BCRA obliga a la entidad financiera a comunicarle al cliente a través de todos los puntos de contacto disponibles que el crédito se encuentra aprobado y que, de no mediar objeciones, el monto será acreditado en su cuenta a partir de las 48 horas hábiles siguientes, plazo éste que podrá ser reducido en el caso de recibirse la conformidad del usuario de servicios financieros de manera fehaciente.

Este control deberá realizarse sobre todas las operaciones de créditos preaprobados realizadas a través de los canales electrónicos disponibles: ATMs, TAS, banca de internet (BI) y banca móvil (BM).

Como se aprecia, existe la obligatoriedad por parte de los Bancos de llevar adelante un proceso previo al otorgamiento de una línea crediticia procurando disminuir el riesgo de una maniobra ilícita, quedando obligada la entidad financiera a procurar la inmediatez con el cliente al efecto de asegurarse que fue éste quien verdaderamente solicitó el crédito.

Y la citada publicación del BCRA deja bien en claro que este procedimiento es complementario al denominado "Requisitos mínimos de gestión, implementación y control de los riesgos relacionados con tecnología informática, sistemas de información y recursos asociados para las entidades financieras" que también se deben cumplir de manera obligatoria. (Última Comunicación incorporada "A" 7325 Texto Ordenado al 08/07/2021).

Allí, en ocho extensas secciones se establecen desde las políticas y procedimientos a seguir por las entidades financieras respecto a la seguridad tecnológica, gestión sobre la ciberseguridad, manejo de incidentes, etc.

Todo lo precedentemente detallado deja en claro que es el Banco quien debe arbitrar todos los medios a su alcance para evitar maniobras ilícitas.

En efecto, es el propio BCRA quien, mediante esta normativa, no hace más que ratificar que una vulneración a las plataformas bancarias donde el cliente es el damnificado no es un mero hecho ilícito entre éste y un tercero ajeno (ciberdelincuente), toda vez que esta circunstancia exterioriza que la seguridad de las plataformas fue vulnerada, por lo cual deja expuesto el incumplimiento de las normas del BCRA citadas precedentemente a fin de evitar ciberestafas.

Y cuando ello ocurre, recae una eventual negligencia imputable a la entidad, pero nunca al cliente ya que éste es la víctima.

Un fallo -a mi criterio ejemplar- respecto a la responsabilidad de las entidades financieras es el de la Sala C de la Cámara Nacional en lo Comercial, caratulado "C. F. c/ Banco XXX s/ Sumarísimo", al señalar en su parte pertinente:

"3. La contratación electrónica, con todos sus beneficios, conlleva también riesgos que, en principio, deben recaer sobre el banco, que no solo es el creador del sistema, sino también quien lo administra en términos que deben garantizar a los usuarios la seguridad de las transacciones que se efectivizan en tal marco (arts. 1107, 1396 y 1725 CCCN)".

"La asimetría informativa y de gestión entre las partes es notoria, lo cual ha llevado al legislador… a preferir al usuario aun cuando no haya ningún reproche…a fin de evitar que sea el consumidor quien deba soportar las consecuencias de un eventual ilícito cometido por un tercero aprovechando los riesgos del sistema…de modo tal que, en su caso, esas consecuencias no queridas no recaigan sobre la parte más débil de las dos que deben considerarse igualmente víctimas".

De igual manera el Fiscal a cargo de la Unidad Fiscal Especializada en Ciberdelincuencia (UFECI) Dr. Ricardo Azzolin en un dictamen técnico contundente y clarificador acerca de esta temática, señaló lo siguiente:

"…el banco debería, además de proporcionar credenciales de acceso y un segundo factor de autenticación (token), haber implementado alertas de seguridad y sistemas de detección que permitieran verificar si se accedía a la cuenta desde un dispositivo diferente o si se realizaban operaciones que no correspondían con el perfil habitual del cliente, como ser la obtención de un crédito por canales electrónicos y su inmediata transferencia a cuentas que ni siquiera tenía adheridas" como tampoco el banco indicó "cuáles fueron las razones por las cuales, pese a que terceros ingresaron a la cuenta del actor, no solo tenían a su disposición los fondos depositados sino la posibilidad de obtener, en forma inmediata, un crédito por casi el cuádruple de la pensión de la víctima".

Por lo tanto, se deben tener en cuenta las siguientes sugerencias:

  • La víctima de una ciberestafa apenas tome conocimiento del ilícito, primero radique denuncia ante el Banco.

Inmediatamente después (aún si le aconsejan no realizarlo) radique inmediata denuncia penal, sea en sede policial o en la fiscalía competente.

Luego, si el Banco no le informa por escrito que ese crédito queda en "stand by" para su investigación interna y lo obliga a abonarlo bajo el argumento que en caso de no realizarlo lo informarían a las calificadoras de riesgo crediticio, radiquen denuncia de esta situación ante el BCRA y acompañen todos los antecedentes al Juzgado competente a fin de solicitar una medida cautelar que impida que la entidad financiera los obligue a abonar ese crédito hasta tanto la justicia no culmine con la investigación.

Marcelo H. Echevarría

Abogado (UBA) - Especialista en Derecho Penal (UB)- Autor e Investigador de Derecho Penal en Argentina y en España