Por Sebastian Farina*

La palabra phishing quiere decir suplantación de identidad, y es utilizada para describir una maniobra fraudulenta que utilizan los ciberdelincuentes para obtener información confidencial de los usuarios y, así, apropiarse de la identidad de esas personas, sus datos privados, especialmente para acceder a sus cuentas o datos bancarios.

Los ciberdelincuentes utilizan todo tipo de recursos: emails, whatsapp, llamados telefónicos, para obtener información y acceder a las cuentas, contraseñas y datos personales valiosos. Una vez que los piratas obtienen los datos y logran acceder a la cuenta y vaciarla. Las artimañas son cada vez más sofisticadas y el riesgo de caer es real.

Ahora bien, si caemos, ¿qué hacemos? 

Imaginemos el escenario: saqué un crédito, o cobré una transacción o una indemnización o cualquier cosa que nutra de fondos la cuenta del banco y, de repente, me desayuno con que la misma está vacía. ¿Cómo debo proceder?Lo primero que debo tener en cuenta es que los clientes del Banco son consumidores y como tales, cuentan con la protección de todo el andamiaje legal.

Segundo, saber que los bancos, en tanto entidades profesionales, deben conducirse con un “plus” de diligencia, y al ser quienes implementan dichos sistemas para “optimizar los servicios” (que se traduce también en un rédito para el banco) deben extremar los recaudos y las medidas de prevención para neutralizar maniobras como el phishing o responder si sus sistemas de “protección” y/o“seguridad” fallan ocasionando un perjuicio al cliente

A su vez, el Banco Central de la República Argentina (BCRA), como autoridad de contralor y superintendencia del sistema bancario ha dictado una serie de normas destinadas específicamente a prevenir, evitar y combatir los delitos que puedan perpetrarse cometido en el uso de la banca digital o mediante la sustracción no autorizada de datos bancarios sensibles, estableciendo estándares mínimos para el efectivo cumplimiento del deber de seguridad, como por ejemplo, la Comunicación “A” 6878 del BCRA, que en su artículo 3.8.5, dispone que “deberán adoptarse normas y procedimientos internos a efectos de verificar que el movimiento que se registre en las cuentas guarde razonabilidad con las actividades declaradas por los clientes”; la Comunicación “A” 4609 instruye que “la estrategia de seguridad deberá contemplar el establecimiento de mecanismos de control para la detección, registro, análisis, comunicación, corrección, clasificación y cuantificación de los incidentes y de las debilidades en los accesos no autorizados a la información administrada en los sistemas de información”; entre otras (ver Picasso Netri, Lisandro en “Responsabilidad de las entidades bancarias por estafas informáticas”).

Tercero, frente al fracaso de los reclamos informales o canalizados por la vías que ofrece el banco, recurrir al auxilio profesional de un abogado de confianza o a la Secretaría de Defensa de los Consumidores y Usuarios, donde podrán dar una orientación clave, en especial, cómo formalizar el reclamo facilitando algún modelo para remitir una carta documento.

Usualmente, si estos reclamos llegan a la Justicia, los jueces suelen considerar lo siguiente: “...el banco está mejor capacitado para dilucidar exactamente cómo sucedió la maniobra y adonde  fueron los fondos. Las entidades bancarias tienen la posibilidad de trackear el destino de las transacciones. Pueden averiguar a donde fue a parar el dinero, a la cuenta de quién. Y con esa información pueden generar un sistema de alerta temprana que refuerce la seguridad de los entornos digitales para evitar casos de phishing...”; y también refiriéndose a las medidas de prevención que deben adoptar las entidades bancarias: “... un sistema de seguridad eficiente hubiera impedido que un usuario digital recién recuperado (con tres intentos fallidos) solicite un préstamo al banco y realice transferencias a cuentas a las que nunca antes había transferido. Se trataría de una medida de prevención razonable, viable, que se puede implementar y que evitaría muchísimos casos de phishing. Esta medida de prevención no se tomó y se podría haber tomado...” (citado por Picasso Netri, Lisandro en “Responsabilidad de las entidades bancarias por estafas informáticas”).

Los bancos cargan con el ineludible deber de brindar los mecanismos de seguridad a los fines de evitar este tipo de delitos. No les basta ampararse en el cumplimiento de las normas reglamentarias del BCRA para librarse de su responsabilidad sino qué, por el contrario, deben ultimar los recursos y técnicas suficientes para mantener al cliente a salvo de las maniobras ciberdelictuales pergeñadas por terceros.

*Abogado