Un fallo que declaró la nulidad de una serie de operaciones electrónicas generadas a raíz de una ciberestafa e impuso una multa civil por daño punitivo de $1.000.000 a un banco público fue parcialmente revocado por un tribunal de apelaciones por entender que la entidad demandada no se benefició con la operatoria sino que, por el contrario, perdió dinero.
La decisión se dio en el marco del expediente “U. E. A. c/ Banco de la Provincia de Buenos Aires s/ Nulidad de Contrato”, que fue resuelto por la Sala II de la Cámara I de Apelación en lo Civil y Comercial de La Plata.
Se trató de un caso de phishing del cual fue víctima una usuaria del Banco de la Provincia de Buenos Aires. La mujer, engañada, entregó las claves de acceso a su cuenta bancaria, lo que implicó que los ciberdelincuentes en un lapso de menos de 24 horas, con las claves en su poder, obtuvieran sumas de dinero en concepto de créditos pre acordados y adelantos de haberes para, inmediatamente después, transferirlas a cuentas de terceros que no eran ni asociadas ni frecuentes.
Al resolver sobre el recurso de la demandada, los camaristas Federico Guillermo García Ceppi e Irene María Cecilia Hooft explicaron que la pretensión de anular las operaciones y restituir el dinero no se trataba de una nulidad del acto jurídico en sí, sino de un planteo sobre la inexistencia del mismo, ya que la voluntad de la actora para celebrar las operaciones de préstamo bancario electrónico no existió.
Los magistrados reconocieron que existía un incumplimiento de la obligación general de seguridad, aunque también debía valorarse que los fondos sustraídos por ciberdelincuentes, lejos de dar un beneficio al banco, le provocaba un perjuicio económico.
De modo que, ante la inexistencia del acto, al víctima no debería devolver suma alguna y la entidad bancaria aún podría perseguir el recupero de los fondos ilícitamente gestionados por terceros, en una acción contra los autores de la maniobra, sus encubridores o residualmente contra los destinatarios finales de aquellos.
El fallo tomó en consideración la normativa del BCRA que dispuso los “requisitos mínimos a cumplir por las entidades financieras sujetas a contralor” por lo que incluso “un cumplimiento de la específica reglamentación vigente al momento de los hechos ventilados no obstaría a un reproche, desde la perspectiva del derecho consumeril, por la falta de adopción de mayores medidas de seguridad” ya aplicadas por otras plataformas.
Sobre esa base, los magistrados reconocieron que existía un incumplimiento de la obligación general de seguridad, así como de los deberes de buena fe y confianza en el marco de la relación de consumo que tornaban aplicable la multa, aunque también debía valorarse que los fondos sustraídos por ciberdelincuentes, lejos de dar un beneficio al banco, le provocaba un perjuicio económico.
En definitiva, el nuevo monto otorgado surgía de “representar la renta que hubiera producido la inversión de las sumas cobradas para amortizar los préstamos bancarios ilícitamente gestionados, a la tasa activa fijada por el Banco” por el período que va desde el hecho hasta el presente “incrementada en dos veces, contemplándose el lucro indebido y consecuente merma en el patrimonio de la actora”.