Alguien paga por el SIM Swapping

La Sala I de la Cámara de Apelaciones de Santa Rosa resolvió que la empresa Telefónica Móviles Argentina SA incumplió su deber de seguridad, al no verificar adecuadamente la identidad de quien solicitó el cambio de SIM, en infracción a la Ley de Protección de Datos Personales y a la normativa de defensa del consumidor, que impone a los prestadores de servicios la obligación de garantizar medidas de seguridad adecuadas para evitar este tipo de fraude.

Se trata de una causa vinculada a un fraude informático mediante el cual un tercero logró obtener un nuevo chip vinculado a la línea telefónica de la actora, sin su autorización, a través del cual accedió a sus claves de seguridad y a la sustracción de dinero de su cuenta
bancaria.

El actor denunció que la empresa permitió que a través del mecanismo denominado "SIM Swapping" (clonado o duplicación de tarjeta SIM), se accediera la cuenta corriente (del Banco de La Pampa) y le sustrajeran $ 4.000.000. En primera instancia se admitió el reclamo y condenó dicha firma de telefonía pero no le atribuyó el 100% de responsabilidad sino que estimó que también hubo "culpa" de la víctima y por tanto la distribuyó en el 50% a cada una.

Se mandó a indemnizar el daño emergente que justipreció en la mitad del monto sustraído ($ 2.000.000) pero rechazó los rubros de lucro cesante, daño moral y daño punitivo. La decisión fue apelada.

En este escenario, el Tribunal pampeano explicó que "al habilitar el cambio del chip de la línea de su titularidad, no constató que quien lo hacía no era ella sino un tercero, de allí que poco importaba si en la factura se consignaba "empresa y/o negocios" cuando esa calificación como distingo conjeturadas por el juez no obstó a la materialización de esa maniobra".

“Toda vez que, previo a habilitar el cambio de chip, omitió desplegar los mecanismos de validación respecto de quien estaba haciendo esa solicitud y permitió por tanto que se accediera a los datos personales de la titular de la línea y posibilitó que esa maniobra de duplicación de tarjeta SIM se concretara”, concluyó la sentencia.

Para los vocales, "fue la que posibilitó que una tercera persona accediera a sus datos personales y entre ellos, a las contraseñas de acceso a aplicaciones como claves y contraseñas, de allí que la empresa incumplió por tanto los deberes impuestos por la L 25326 de Protección de los Datos Personales".

“Toda vez que, previo a habilitar el cambio de chip, omitió desplegar los mecanismos de validación respecto de quien estaba haciendo esa solicitud y permitió por tanto que se accediera a los datos personales de la titular de la línea y posibilitó que esa maniobra de duplicación de tarjeta SIM se concretara”, concluyó la sentencia.