La justicia bonaerense responsabilizó a un banco por no proteger los fondos de una pyme ante un ataque cibernético. Mediante el fallo, un tribunal de La Plata dictaminó que le debe reembolsar $ 140 millones a una pequeña y mediana empresa.

La sentencia, emitida por el Juzgado en lo Civil y Comercial N° 9, condena al Banco BBVA Argentina S.A. a pagar una multa equivalente a 100 canastas básicas (actualmente $ 103.371.600) por incumplimientos en las medidas de seguridad de sus operaciones electrónicas, además de la devolución de las sumas sustraídas a la pyme.

El 20 de marzo de 2023, José Luis Aronna, socio gerente de Grupo Logística Uno S.R.L., intentó realizar una transferencia a un proveedor a través del homebanking del BBVA. Durante la operación, el sistema solicitó datos adicionales, incluyendo el token de seguridad. Tras ingresar las credenciales, la sesión se cerró abruptamente.

En menos de 30 minutos, los ciberdelincuentes desviaron $ 39.999.342,29 mediante 18 transferencias fraudulentas a 17 cuentas bancarias distintas, vaciando los fondos de la empresa. Además, se solicitó un préstamo no autorizado por $ 3.500.000.

La computadora de la empresa estaba infectada con un virus malware que capturó las credenciales de acceso al homebanking.

Las transferencias se realizaron a cuentas bancarias desconocidas, algunas de las cuales figuraban en una “lista negra” de cuentas fraudulentas del propio banco.

Fundamentos del fallo: deber de seguridad y protección al consumidor

El juez Juan José De Oliveira determinó que el banco incumplió su deber de seguridad al no supervisar ni controlar adecuadamente las transacciones realizadas desde la cuenta de la empresa. El fallo se basa en varios puntos clave:

• Relación de consumo: el caso se enmarca dentro de una relación de consumo, amparada por la Ley de Defensa del Consumidor (Ley 24.240).
• Circular A.7969 del Banco Central: esta circular establece estándares de protección para los usuarios de servicios financieros, sin distinción entre personas físicas y jurídicas.
• Obligación de seguridad: el banco, al ofrecer servicios electrónicos como el homebanking, asume la responsabilidad de garantizar que su sistema sea seguro y confiable.
• El juez consideró que el banco no implementó medidas de seguridad adecuadas para prevenir riesgos como el fraude y el malware, incurriendo en responsabilidad objetiva. Además, rechazó los argumentos del banco sobre la supuesta negligencia de la empresa al no proteger su computadora con un antivirus.