Una mujer demandó a Mercadolibre por la supuesta violación del deber de seguridad en su cuenta de Mercado Pago donde, según alegó, un tercero extraño ingresó sin autorización y vació su dinero por transferencia a una cuenta desconocida. En su dema da reclamaba una suma de $640.000, más daño punitivo, multas, intereses y costas.
En su relato, explicó que la llamó un supuesto empleado de Mercadolibre y tras hablarle de un supuesto reintegro por una promoción, le pidió sus datos, y pese a que solo entregó su nombre completo y CBU de la cuenta, con posterioridad evidenció que se había vaciado la cuenta.
También habían hecho otra transferencias desde su tarjeta de débito bancaria, hacía una cuenta “mula”. Según agregó al comunicarse con el sector de seguridad de la app le bloquearon la cuenta de forma preventiva.
Pese a ello, consideraba que hubo un fallo de seguridad dado que ella jamás brindó su clave ni usuario, ni tampoco su teléfono había sido sustraído, y que pese a que la demandada tenía los datos de la cuenta que recibió el dinero no lo reintegró ni congeló, perjudicándola como consumidora.
Por su parte Mercadolibre, se defendió alegando que el relato del supuesto llamado era una cuestión ajena a la empresa y que además el mismo difería del brindado en la denuncia penal, donde la mujer alegó que el que la llamó era de “Farmacity” y no de Mercadolibre como expresaba en su demanda.
La demanda fue rechazada en primera instancia tras acreditarse mediante una pericia informatica no cuestionada que las operaciones se llevaron adelante desde su mismo dispositivo y dirección de IP, la cual se utilizó en operaciones previas no cuestionadas.
En este contexto, remarcó la poca credibilidad de lo narrado por la actora que “era evidente que intentaba acomodar las versiones según su conveniencia”.
Explicaron que las operaciones realizadas se hicieron con su usuario y clave y desde su dispositivo habitual de uso del cual nunca fue desposeída y si la mujer entregó sus datos, obedeció a su propia negligencia.
El caso se caratuló “P. V. I. c/ Mercado Libre SRL s/ Sumarísimo” y la demanda fue rechazada en primera instancia tras acreditarse mediante una pericia informatica no cuestionada que las operaciones se llevaron adelante desde su mismo dispositivo y dirección de IP, la cual se utilizó en operaciones previas no cuestionadas.
La actora apeló a la Sala F de la Cámara Comercial, cuestionando que no se valore que fue víctima de una maniobra de phishing y que no se trató adecuadamente los deberes de seguridad, información y trato digno que debía cumplir la accionada.
Para los camaristas Alejandra Noemi Tevez y Ernesto Lucchelli la decisión de grado no estaba errada, y procedieron a confirmarla tras ponderar no había evidencias de la existencia de phishing, ni la demandada era una entidad bancaria o financiera que cuente “con obligaciones respecto a la seguridad de sus plataformas y productos digitales que dan lugar a transacciones financieras”.
Sin perjuicio de ello, los jueces remarcaron que la demandada igualmente era una proveedora en los términos de la LDC al operar un servicio de billetera virtual y a la misma se le aplica la responsabilidad objetiva por ser “entornos que deben calificarse como riesgosos y peligrosos con la consecuente potencialidad de generar daños al consumidor”.
“Contrariamente a la falla de seguridad denunciada, las operaciones cuestionadas fueron efectuadas -aunque quizás engañada por terceras personas- por la propia accionante o bien por una persona con acceso a su teléfono celular. De allí que no puede imputarse responsabilidad a la proveedora de la plataforma”
De ahí que su responsabilidad no se fundaría en la autoría material del ilícito sino en el deficiente control para impedir la efectivización de la maniobra fraudulenta.
Analizado este tema, los camaristas coincidieron que en el caso no había phishing y tampoco se le podía imputar responsabilidad a la demandada por incumplimiento de los deberes de seguridad, información y trato digno.
Entre las pruebas se evidenciaban incongruencias en el relato de la actora entre la sede penal y la civil, las capturas de pantallas acompañadas en sede penal también eran distintas de las acompañadas en este expediente donde aparecían “recortadas” y figuraban horarios anteriores al de la supuesta llamada.
En conclusión, los camaristas entendieron que “contrariamente a la falla de seguridad denunciada, las operaciones cuestionadas fueron efectuadas -aunque quizás engañada por terceras personas- por la propia accionante o bien por una persona con acceso a su teléfono celular. De allí que no puede imputarse responsabilidad a la proveedora de la plataforma”.
Tampoco consideraron que existiera incumplimientos de la plataforma con posterioridad al hecho, ya que se realizó el bloqueo preventivo y el deber de información estaba cumplido, dado que la misma aplicación indicaba que las transferencias no se podían cancelar.
Por su parte la actora tampoco probó que exista un botón que permita “cancelar transferencias” como alegaba ni cuales eran los montos habituales que transfería como para probar que la operación no era normal.
Finalmente, decidieron que no era necesario analizar “la suficiencia -o no- de las medidas de seguridad por parte de la proveedora de la plataforma digital, en tanto surge descartado el ingreso de terceros extraños a las cuentas de la accionante”.N