Negar los beneficios de la virtualidad es, a esta altura, un intento estéril y anacrónico por anclarse en una foto que ya no está. Comprar desde casa, realizar transacciones y sellar acuerdos a través del celular desde cualquier parte del mundo no solo ha ahorrado invaluable tiempo, también optimizó recursos y economizó esfuerzo.
Pero tampoco debe romantizarse o soslayarse el frente que abre la pérdida del contacto directo entre personas. Así como muchos apuestan a la inteligencia artificial como una herramienta que promete cambiar aspectos esenciales de la vida diaria -y por lo que ya está haciendo la IA, parece ser una percepción acertada-, gobiernos y parte de la sociedad civil advierten sobre los desafíos que trae la creciente digitalización del día a día.
Las problemáticas urgentes que acerca la tecnología ocupan cada vez más atención de los Tribunales: nada parece detener la judicialización que desatan las estafas electrónicas, la suplantación de la identidad y el robo de información sensible.
Un instructivo realizado por la Dirección Nacional de Ciberseguridad de la Nación en el año 2021 define al “phishing” como un tipo de fraude que tiene por objetivo engañar a la persona usuaria para que revele algún tipo de información, generalmente financiera o personal, con el objetivo de suplantar su identidad digital y obtener algún beneficio. “Se trata del ciberataque más común y más sencillo”, refiere dicha guía, y precisa que quien lo perpetra suele ser denominado “phisher”.
Un ejemplo sencillo -pero por desgracia, eficiente para los aprovechadores- es el supuesto mail que mandan desde el banco para que una persona -inducida al error- ingrese a su home banking desde ese correo electrónico, cuando en rigor ese envío no se hace desde una casilla oficial, tratándose solo de una plantilla que utiliza los colores e imágenes del banco para robar información de la cuenta, por ejemplo, las contraseñas.
El perjuicio es claro: en este caso, con los datos bancarios y el ingreso a la plataforma real se pueden efectuar operaciones, transferencias, pedir préstamos y otras tantas acciones dañosas para el titular de esa cuenta.
Frente a este tipo de fraudes, ¿los bancos y las billeteras virtuales tienen algún tipo de responsabilidad? En primer lugar, es necesario tener presente que tal como instruye la Ley 24.240 -de Defensa del Consumidor-, “las cosas y servicios deben ser suministrados o prestados en forma tal que, utilizados en condiciones previsibles o normales de uso, no presenten peligro alguno para la salud o integridad física de los consumidores o usuarios.”
El vínculo entre un usuario y un banco o “wallet” implica una relación de consumo, la que trae aparejada un deber de seguridad por parte de la entidad.
La Comunicación A6878 del Banco Central de la República Argentina (BCRA), emitida en enero de 2020, también establece por ejemplo para el caso de transferencias electrónicas que “las entidades deberán tener implementados mecanismos de seguridad informática que garanticen la genuinidad de las operaciones.”
Lo mismo corre para los depósitos en cajeros automáticos y las extracciones. En el mismo sentido (y entre otras normas de la Administración), la Comunicación A7777 del BCRA, de junio de 2023, impone a las entidades financieras “asegurar la implementación de prácticas efectivas para el control interno y la gestión de riesgos de su entorno operativo de tecnología y seguridad de la información.
Para ello, deberán demostrar comprensión de los riesgos y establecer un marco para su gestión acorde a la complejidad de los servicios financieros ofrecidos y de la tecnología que los soporta.”
En cuanto a las sanciones previstas por la ley, el artículo 172 del Código Penal establece que “el que defraudare a otro con nombre supuesto, calidad simulada, falsos títulos, influencia mentida, abuso de confianza o aparentando bienes, crédito, comisión, empresa o negociación o valiéndose de cualquier otro ardid o engaño”, podrá afrontar penas de prisión de hasta seis años, y esto sin analizar la manera en la que quien perpetra el hecho se hizo de las contraseñas o las herramientas con las que concreta el engaño, lo que podría implicar otros delitos (por ejemplo, el art. 153 bis sanciona al que sin autorización, accede a un sistema o dato informático de acceso restringido).
Por su parte, el art. 173, al referirse a los casos especiales de defraudación, también contempla reprimir con la misma pena de hasta seis años al que defraudare a otro mediante cualquier técnica de manipulación informática que altere el normal funcionamiento de un sistema informático o la transmisión de datos (art. 172 CP).
Phishing en la Tribunales
Si bien es numerosa la jurisprudencia en favor de los usuarios y en contra de los bancos cuando este deber de seguridad es incumplido por parte de las entidades, lo cierto es que tampoco procede cualquier reclamo y deben cumplirse ciertas particularidades.
Por ejemplo, el 15 de octubre de 2024, la Sala F de la Cámara Nacional en lo Comercial confirmó el rechazo de la demanda por daños y perjuicios promovida por una usuaria (pongámosle de nombre Karina) que pretendía que Mercado Libre le abonara $640.000 más daño punitivo, multas, intereses y costas ya que -según su relato y como consta en la causa- un empleado de la empresa la había llamado por teléfono para chequear algunos datos para el reintegro de una promoción y tras ese llamado, al ingresar a su cuenta de MercadoPago (billetera virtual del gigante de compra y venta), notó que le habían vaciado la cuenta, transfiriendo su dinero.
La Cámara rechazó el planteo de Karina ya que entendió que no procedía asimilar su caso a los supuestos en los que se ha resuelto responsabilizar al proveedor y en los que el consumidor -víctima de la ciberdelincuencia- ha proporcionado su usuario, claves o códigos de validación de acceso a su cuenta.
La Justicia estimó crucial el hecho de que de la prueba producida en el juicio se dedujo que las operaciones cuestionadas por la reclamante fueron efectuadas por la misma Karina o por alguien de su entorno, con acceso legítimo a su celular, por lo que no se pudo acreditar la maniobra de phishing ni el incumplimiento en el deber de seguridad por parte de la empresa demandada.
“Desde esta óptica” -refirieron los jueces-, aún con el carácter restrictivo que se debe advertir, “lo concreto es que no se ha desvirtuado el argumento central y dirimente que llevó al a quo al rechazo de la demanda: esto es -a fuerza de ser reiterativa- que las transacciones se efectuaron desde el IP y dispositivo con el que habitualmente operaba la accionante”, es decir, Karina. La prueba pericial tampoco favoreció a la reclamante, lo que selló la suerte adversa de su planteo.