Condenan al Banco Santander Rio S.A. por estafa virtual sufrida por un cliente.
Debe pagarle más de $20.000.000 por daños patrimonial, moral y puntivo. En la demanda relató que es cliente de la entidad y titular titular de la cuenta sueldo, en la cual percibe su salario mensualmente.
El 31 de marzo de 2025 fue víctima de un ataque informático mediante el cual terceros ajenos lograron vulnerar su cuenta de WhatsApp y utilizaron dicha vía para solicitar transferencias de dinero a sus contactos personales.
Realizó reiterados llamados infructuosos al número de atención de emergencias de la entidad bancaria y poco después recibió un llamado telefónico, en el cual la persona se identificó como empleado del Banco Santander Río, manifestando que “devolvía el llamado que el cliente estaba realizando”.
El operador manifestó conocer con precisión los datos personales y bancarios incluyendo el número de cuenta, movimientos recientes e incluso las características del dispositivo celular, lo cual le generó una falsa sensación de confianza, al presumir que efectivamente se trataba de un contacto legítimo proveniente de la entidad financiera. El interlocutor se presentó con nombre completo y “número de operador interno”, y le informó que “se ha detectado un intento de hackeo en su cuenta bancaria”, advirtiéndole además que “se ha solicitado un crédito preaprobado en su nombre” lo que generó en el consumidor un completo temor. Le indicó que, “sin dar ninguno de sus datos personales” debía ingresar inmediatamente a la aplicación, específicamente a la sección de “Créditos
Preaprobados” atento a que “se ha detectado la activación de un desvío de fondos”, y le ordenó que hiciera un “pasaje” del dinero a una “cuenta segura que otorgaba el propio banco” a fin de “evitar que los fondos fueran sustraídos por estos hackers”.
Hecho que resultó en la acreditación inmediata de un préstamo por la suma de $11.726.500 en su cuenta, importe que le fue sustraído de manera fraudulenta a los pocos minutos.
Además, la realizaron 2 transferencias que culminaron con el vaciamiento total de la cuenta bancaria, incluyendo el préstamo preaprobado cuya solicitud no fue en ningún momento gestionada de forma voluntaria, consciente, ni informada.
Destacó en la demanda patrocinada por la abogada Micaela Cresta que el banco comenzó a ejecutar débitos automáticos sobre su cuenta correspondientes al crédito otorgado de manera ilegítima.
Manifestó que tuvo que disponer de sus ahorros personales, recurrió a la venta forzosa de dólares de su propiedad, solicitó dinero prestado a familiares y amigos, todo ello con el único fin de abonar el saldo del crédito impuesto y evitar la continuación del cobro de cuotas completamente usurarias e ilegítimas.
El Banco respondió que los sistemas informáticos detectaron el ingreso del cliente a su Home Banking. Ello implicó el ingreso correcto de su DNI + usuario + contraseña que solamente el actor podía conocer. El ingreso se realizó desde un dispositivo e IP normal que eran normales y habituales.
La jueza en lo civil y comercial, Verónica Gotlieb, afirmó en la resolución que “pesa sobre el banco demandado una obligación de seguridad, que conlleva un factor de atribución de responsabilidad objetivo. Explica Vázquez Ferreyra que el incumplimiento de la obligación de seguridad puede traer como consecuencia un daño en la persona o bienes del contratante, lo que dará nacimiento a la obligación de reparar ese perjuicio, reparación que pertenece al campo la responsabilidad contractual”.
Agregó que “aun cuando no logró verificar la existencia de la llamada telefónica que habría iniciado la estafa denunciada, advierto que el banco incumple con sus obligaciones de seguridad, advertencia e información. El contenido de estas obligaciones no puede considerarse limitado al control de los accesos a las cuentas mediante usuario y contraseña, como tampoco a la autorización de operaciones mediante token. Por el contrario, dicho control solo constituye un standard mínimo que, necesariamente, debe integrarse con el resto de la normativa reglamentaria que progresivamente el BCRA dicta sobre el particular”.
Destacó la magistrada que “las estafas electrónicas, como sería el caso del “phishing”, se concretan a través de técnicas de manipulación. La maniobra normalmente viene acompañada con la “suplantación de identidad” de alguna empresa, organismo público o personalidad reconocida que podría ser de interés para la víctima, pero el circuito mínimo de “anzuelo y pesca” que propone el phishing consta de un llamado de atención -que puede estar dado por la caída de un servicio, el bloqueo de una clave, una oferta de último minuto, un premio, e incluso una multa o un castigo y un requerimiento de información sensible (usuarios, contraseñas, claves bancarias, tarjetas de coordenadas, tokens, códigos de verificación, códigos de recuperación, números de tarjetas de crédito y de débito, etc.)”. La sentencia no está firme.
