La acelerada evolución de las tecnologías en los últimos años, potenciada por la pandemia, trajo consigo la digitalización de casi todos nuestros trámites bancarios y financieros.  

Aplicaciones y plataformas web, desarrolladas por los bancos y entidades financieras para facilitar la realización de nuestras operaciones diarias, son grandes protagonistas de nuestro tiempo. Hoy las personas pueden concretar  innumerables transacciones, a diario y desde cualquier lugar del mundo, con solo ingresar sus datos bancarios (usuario y contraseña), tarjetas coordenadas y/o Tokens.

En diciembre del 2020, la penetración de cuentas bancarias alcanzó el 91% de la población adulta. Esto significa que, hoy más de 31 millones de personas poseen al menos una cuenta de este tipo. 

Según informa el Banco Central de la República Argentina, esto permitió cumplir con el objetivo de llegar a la mayor cantidad de usuarios posibles y permitirles utilizar servicios financieros durante el distanciamiento social.

En este contexto, y acompañando el boom de los servicios financieros virtuales, en los últimos años se han desarrollado numerosas plataformas y herramientas financieras digitales. Entre otras, una enorme cantidad de billeteras virtuales, o los ECHEQS, que han simplificado aún más el tráfico electrónico de fondos, desplazando el uso de efectivo y/o cheques papel. 

Hecha la ley, hecha la trampa. La pandemia impuso y masificó el uso de estas herramientas, incluso entre los más resistentes y menos avezados en el uso de la tecnología. Esto no pasó desapercibido para los delincuentes que, valiéndose de diversas técnicas, desarrollaron nuevos mecanismos de fraude en contra de los clientes bancarios. 

Garantizar la seguridad del dinero que les es confiado y que se mueve a través de sus cuentas y canales financieros, es competencia de las entidades bancarias. Ahora bien, estos fraudes cometidos en entornos digitales ¿son siempre, siempre, responsabilidad de los bancos? ¿O existe algún grado de responsabilidad en cabeza del cliente?

El método más usual mediante el cual los clientes son engañados es el envío masivo de mails en los que, haciéndose pasar por falsos oficiales de cuentas o a través del uso de falsas páginas en redes sociales, los delincuentes se comunican directamente con los clientes para obtener información. 

Los clientes engañados entregan en forma inconsciente y voluntaria datos códigos y claves personales que permiten a los clientes acceder a las cuentas y utilizarlas para hacerse transferencias o solicitar préstamos que son rápidamente desviados hacia otras cuentas.

Por lo general, los requisitos técnicos para realizar una operación bancaria o para acceder al homebanking son:

1- Contar con un número de usuario, previo ingreso con DNI.

2- Seleccionar una clave de acceso.

3- En caso de ingresar tres veces en forma errónea la clave de acceso, se bloquea la cuenta.

4- Contar con una tarjeta de coordenadas o un Soft Token que valide la operación.

5- El sistema avisa cuando realiza una transferencia.

Para poder acceder al homebanking,  es necesario conocer el DNI del titular, su nombre de usuario y la clave elegida por él. En otras palabras, el acceso a la cuenta a través de la web requiere una triple validación que hace difícil, para el delincuente,  conocer todos los datos a menos que le sean entregados por el titular. Una primera barrera de seguridad en favor del cliente.

En la misma  línea, de un tiempo a hoy habrán advertido que los sitios de homebanking y/o las apps de cada banco, recomiendan al cliente una serie de tips y consejos a tener en cuenta para protegerse de los delincuentes y prevenir cualquier posible “cyber ataque” contra sus cuentas.  Con especial énfasis, casi todas las entidades splicitan a sus clientes no revelar el referido Token relacionado con su cuenta, asegurando que él mismo NUNCA les será pedido desde la entidad.

El Token es un dispositivo portátil de alta tecnología que genera una clave de seis dígitos,de forma aleatoria e irreemplazable que, en general,  se actualiza aproximadamente cada sesenta segundos.

Lo expuesto, nos lleva a preguntarnos entonces... ¿Cuál es el límite en la responsabilidad que deberían asumir las entidades financieras ante hechos como datallos anteriormente? Hechos en los que, a pesar de haber sido notificados del riesgo de éstos delitos, y de haber recibido las pertinentes recomendaciones y directivas de seguridad, el cliente de alguna manera termina entregando sus datos y cae víctima de una estafa.

Si el cliente hace caso omiso a reiteradas advertencias y recomendaciones de su banco (lo que incluso podría implicar la violación de una obligación contractual), es factible concluir que no se verificará una conducta antijurídica en cabeza del banco. En la situación planteada, la entidad habría hecho todo lo posible para que el cliente no se vea afectado por conductas fraudulentas, sin embargo,  el cliente habría desoído la recomendación. 

Se cumple de esta manera con el deber de información previsto en el artículo 4 de la Ley N° 24.240 de Defensa del Consumidor y 1100 del Código Civil y Comercial de la Nación de forma tal de poner en conocimiento del cliente que nunca se le requerirá la exhibición de datos.

Muchas veces se ha pretendido mezclar éstos casos de “phishing” o “fraude cibernetico”, comparando la operación con los engaños cometidos en cajeros automáticos en los que los delincuentes fuerzan las máquinas mediante diversos dispositivos.  En ésta última, el cliente no puede hacer nada para prevenir el delito, es responsabilidad de la entidad cuidar la seguridad en sus cajeros.   La situación es muy distinta de aquella en la que la actividad del cliente, brindar los datos en este caso, es absolutamente ejercida por él y resulta indispensable para la comisión del ilícito.

La información vertida por las entidades financieras debería ser considerada suficiente para alertar al clientes sobre estas actividades. Las entidades financieras no tienen cómo prever que los clientes hagan caso omiso a las advertencias e instrucciones provistas para el uso de las plataformas digitales.

Hace unos meses el BCRA estableció nuevos requisitos de seguridad a las entidades financieras para el otorgamiento de créditos preaprobados a través de las Comunicaciones “A” 7319 y “A” 7370.  Éstos, sin embargo, no modifican el nivel de diligencia respecto de las mencionadas advertencias, que se exige al cliente bancario.

Previo a la autorización de un crédito preaprobado, la entidad debe verificar fehacientemente la identidad de la persona usuaria de servicios financieros involucrada, mediante técnicas de identificación positiva, por ejemplo llamados telefónicos o comunicaciones por otras vías, debiendo constatar que no hayan sido modificados recientemente. 

Verificada la identidad de la persona usuaria, el banco o entidad financiera deberá comunicar al cliente  -a través de algunos de los puntos de contacto disponibles-  que el crédito se encuentra aprobado y que, de no mediar objeciones, el monto será acreditado en su cuenta a partir de los 2 (dos) días hábiles siguientes. 

Estas medidas o “capas de seguridad” le darían al cliente,  el tiempo e instancias intermedias necesarias, para poder reclamar o frenar la operación en caso de fraude.

Las entidades financieras quedarán exceptuadas de implementar los pasos mencionados, en caso de dar cumplimiento a alguna de las siguientes condiciones:

a. Que para la autorización de un crédito preaprobado la entidad financiera verifique fehacientemente la identidad de la persona usuaria de servicios financieros involucrada, mediante soluciones biométricas con prueba de vida.

b. Que la entidad financiera cancele el crédito preaprobado, asuma la devolución de las sumas involucradas y anule los posibles efectos sobre la situación crediticia de la persona usuaria de servicios financieros afectada, ante la denuncia policial presentada por esta persona siempre que la denuncia se presente en un plazo máximo de 90 (noventa) días corridos desde el vencimiento de la primera cuota del crédito.

En ambos casos, el crédito solicitado podrá acreditarse de manera inmediata en la cuenta del usuario.

La seguridad es, y ha sido, competencia de los bancos y entidades financieras desde siempre, No por nada, las personas  les confían su dinero, lo guardan en cajas de seguridad y lo depositan en cuentas bancarias desde hace siglos. 

Sin embargo, el entorno digital nos pone frente a nuevas situaciones, oportunidades y desafíos a la vez. Las entidades financieras son definitivamente quienes deben adoptar medidas de seguridad para evitar fraudes bancarios, sin embargo, no es menos cierto que los clientes deben aportar su cuota de responsabilidad no divulgando sus datos a terceros.

Cabe concluir que el deber de garantizar la seguridad que las entidades financieras deben brindar a sus clientes no es absoluto, y también, que debe tener un límite. En forma correlativa, los derechos de los clientes no son absolutos y deben tener un límite razonable, siendo en este caso concreto, un nivel de diligencia necesario limitado a no proporcionar datos sensibles de los mismos a terceros que faciliten la comisión de ilícito.