Ciberfraudes y estafas bancarias
Autor:Abog. Ismael Lofeudo
(Publicado originalmente en Revista Neurona Buenos Aires, Suplemento Tecnología.
VER REVISTA)
“Hola Buenas tardes, me presento, mi nombre es Ricardo, asesor de ANSES. Estoy retomando la comunicación de ANSES debido al bono de Ingreso Familiar de Emergencia, tiene conocimiento del bono por favor?…”
Esa frase se repitió miles de veces en llamadas realizadas a teléfonos de todo el país, y marcaba el comienzo de una estafa que ha crecido exponencialmente en estos tiempos de pandemia. Es la conocida estafa telefónica denominada “phishing”, o más actualmente “vishing”, ya que es un engaño realizado por medio de una llamada por voz.
¿De qué delito hablamos?. Dentro del género de las estafas podemos encontrar diversas modalidades. El Art 172 del Código Penal establece que hay estafa cuando alguien: “… defraudare a otro con nombre supuesto, calidad simulada, falsos títulos, influencia mentida, abuso de confianza o aparentando bienes, crédito, comisión, empresa o negociación o valiéndose de cualquier otro ardid o engaño.”, y luego, el Art 173 enumera diversas situaciones consideradas casos especiales de defraudación, y en su inciso 16 enumera uno aplicable al caso que trataremos aquí:”El que defraudare a otro mediante cualquier técnica de manipulación informática que altere el normal funcionamiento de un sistema informático o la transmisión de datos.”
Según Romero Villanueva, citado por el Abog. Pablo Palazzi “el phishing es una modalidad defraudatoria que consiste en remitir un correo electrónico engañoso a clientes para que revelen información personal —tales como su número de tarjeta de crédito o débito o claves de cuentas bancarias— a través de sitios web simulados o en una respuesta de correo electrónico”. Esta modalidad clásica del denominado “phishing” que viene realizándose desde hace décadas, creció significativamente de la mano de la versión denominada “vishing”. En esta variante, el engaño se lleva adelante por medio de una llamada telefónica, a través la cual se gana la confianza de la víctima y se consigue información relevante de ésta para tener acceso a sus cuentas.
Las estafas por medios electrónicos incluyen no sólo fraudes a través de correos electrónicos sino también la suplantación de sitios web corporativos generando páginas que son una copia exacta de la original. Los nombres de dominio usados para engañar suelen tener una letra cambiada. La letra “l”(L minúscula) se cambia por la letra “l” (i mayúscula), y páginas falsas se posicionan como primeras en las búsquedas de Google pagando el posicionamiento, de esta forma cualquier internauta incauto y ansioso cae en la trampa.
Las víctimas en las recientes estafas bancarias:
A priori podemos pensar que la única víctima es el cliente defraudado a quien despojan de sus ahorros y a quien endeudan. Pero un análisis más minucioso nos permite distinguir a distintas víctimas de distintos delitos, todos ellos vinculados con la misma maniobra.
Por un lado a los clientes de la entidad financiera les sustraen los fondos de sus cuentas, y por el otro, a la propia entidad financiera le solicitan dinero mediante técnicas de suplantación de identidad.
El consumidor:
A esta víctima la despojan de los fondos depositados y custodiados por la entidad financiera, cuya prestación principal es justamente custodiar los mismos.
En este tipo de estafas los clientes muchas veces son engañados fundamentalmente porque desconocen el funcionamiento de los mecanismos de seguridad que los bancos han implementado para las operatorias en línea, o en otros casos, directamente debido a las deficientes medidas de seguridad que las entidades financieras ponen en práctica para evitar fraudes. Todo a pesar de las disposiciones del Banco Central de la República Argentina que así lo establecen.
Estamos en presencia de una responsabilidad de carácter objetiva que emerge de la ley 24.240 de defensa del consumidor (art. 40 y 40 bis), ya que existe aquí una relación de consumo y es el Banco quien creó los riesgos a los cuales expone a los consumidores relacionados con las tecnologías escogidas para evitar fraudes. Así lo ha entendido también la Cámara Civil y Comercial de la Plata, que en una sentencia sobre la ejecución de un crédito generado por canales digitales sostuvo:”…se estarían canalizando operaciones de crédito para consumo sujetas a las específicas reglas de orden público de la ley consumeril (art. 65, ley 24.240), entre ellas, las presunciones que debieran interpretarse a favor de los eventuales deudores consumidores”.
Existe una responsabilidad de la entidad bancaria si las medidas de seguridad adoptadas son inefectivas o se ponen en práctica de forma deficiente, como ocurre en las situaciones de fraudes bancarios que nos convocan. Ya sea que se utilice una clave token, una tarjeta magnética, o una aplicación en el dispositivo móvil del cliente, la responsabilidad derivada de estas tecnologías elegidas por el banco le corresponde a éste, y ante la duda, siempre la interpretación debe ser a favor del consumidor.
En relación a los créditos, es claro que la decisión de otorgarlos por medios electrónicos de esta manera es parte de una política comercial de la entidad financiera, y responsabilidad exclusiva de las mismas. Es claro que priorizan el rápido otorgamiento de créditos por sobre el cumplimiento con las leyes y la seguridad jurídica, pero volveremos a este punto más adelante.
La entidad financiera:
Tal como sostiene parte de la doctrina, como el Abog. Ernesto Liceda, estamos aquí frente a un simple caso de uso de datos identificatorios sin autorización, o de forma ilegítima de parte de los delincuentes, y no de “robo de identidad”.
En estos casos estamos frente a una maniobra de suplantación de identidad para engañar así a la entidad financiera que no cuenta con medidas de seguridad suficientes para percatarse del engaño del cual está siendo víctima.
La acción encuadra en la conducta delictiva descrita en el Art. 173 inc. 16 de nuestro Código Penal, que refiere a los supuestos en los cuales la defraudación se realiza mediante sistemas informáticos, como son los accesos ilegítimos con claves obtenidas mediante engaños o mediante diversos dispositivos colocados en los cajeros automáticos para copiar los datos de las tarjetas y grabar las claves ingresadas en el teclado, entre otros.
El menoscabo patrimonial lo sufren las entidades financieras. Son los bancos los engañados para otorgar créditos y transferirlos a cuentas de terceros fuera de su control. Y si asumieran su lugar de víctimas deberían presentarse ante las autoridades judiciales y denunciar los hechos, aportando la evidencia necesaria obrante en sus registros para encontrar a los delincuentes autores del delito del cual son víctimas.
Pero lamentablemente, los bancos hasta hoy han tomado otra actitud contestando las notas de reclamo mediante Carta Documento con textos muy similares al siguiente:
“Del análisis efectuado sobre operaciones denunciadas, no surgirían anomalías que permitan inferir que las mismas no hayan sido autorizadas por Ud., toda vez que fueron realizadas con el usuario BIP y clave BIP TOKEN que usted tiene activo. A todo evento, se le recuerda que las credenciales de los diferentes canales electrónicos (usuario, clave, tarjeta, PIN y PIL) son personales y su guarda como la del plástico es exclusiva responsabilidad del titular de la misma.”
De esta manera, las entidades financieras desconocen cualquier tipo de responsabilidad sobre la deficiente detección de fraudes, y vuelcan todas las culpas en los clientes a quienes nunca explicó el funcionamiento de las medidas de seguridad. Es común ver que consumidores que nunca habían dado de alta la denominada “clave token” son engañados para generarla y comunicarla a los delincuentes. De esta forma, los hechos que marcan el fraude son: el acceso al home banking desde direcciones IP no usadas anteriormente, la generación de claves nuevas, el alta de nuevas cuentas destino de transferencias, el incremento de los montos para transferencias, la solicitud de adelantos de sueldos y créditos en línea, y finalmente el envío de todo el dinero a las cuentas de terceros recientemente dadas de alta. Todo ocurre en un muy breve lapso de tiempo que deja en evidencia una maniobra de fraude, pero que las entidades financieras no han sido capaces de detectar.
Frente a esta situación, la doctrina coincide en que el crédito no es legítimo. Algunos plantean la nulidad del contrato, y otros la palmaria inexistencia, con similares fundamentos:
a. No existe contrato. Tal como nuestro Código Civil y Comercial establece, el requisito para que exista un contrato es el acuerdo de voluntades manifestado mediante un consentimiento que crea, regula, modifica, transfiere o extingue relaciones jurídicas patrimoniales.
b. No hay consentimiento, ya que el mismo requiere una conducta de las partes contratantes que manifiesta la existencia de un acuerdo.
c. No hay firma. La existencia de una firma digital permitiría probar la autoría de la declaración de voluntad que obliga al firmante, pero en los casos de contratos por medios electrónicos no estamos frente a una firma digital con efectos equivalentes a los de una firma ológrafa, sino frente a la denominada “firma electrónica”, que no goza de las mismas presunciones de autoría e integridad. Tampoco goza de la garantía del no repudio que establece la Ley de Firma Digital (Ley 25506).
El daño reputacional:
No es menor el daño reputacional que se genera en el momento en el cual la entidad financiera informa la deuda apócrifa (contraída por los delincuentes y atribuída a los clientes) a la Central de deudores financieros del BCRA y a centrales de información de riesgo crediticio.
Si bien las entidades financieras deben informar las deudas al Banco Central, ésta información inexacta en los casos que tratamos no debe privar a los clientes de la posibilidad de acceder al crédito garantizando la protección de los datos personales (arts. 19, 43 y 75 inc. 32 de la Constitución Nacional).
El Artículo 43, tercer párrafo de la Constitución Nacional consagró el derecho de toda persona a interponer una acción expedita y rápida para tomar conocimiento de los datos a ella referidos y en caso de falsedad de los mismos, para exigir su supresión, rectificación y actualización. La Ley de Protección de Datos Personales ofrece la vía de la acción de habeas data, conforme lo establece en su Art. 14.
La acción de habeas data tiene el objeto de darle una herramienta a la persona interesada para controlar la veracidad de la información sobre su persona y el uso que de ella se haga.
Teniendo en cuenta el daño y la confusión que sobre la persona afectada pueden causar los informes con datos incorrectos, la acción de Hábeas Data se presenta como una vía idónea para corregir los datos obrantes sobre las personas damnificadas por la maniobra de Phishing.
Finalmente, podemos concluir que este tipo de fraudes bancarios tienen un abordaje complejo. Requiere impulsar la investigación penal para encontrar a los autores del delito y establecer con claridad la maniobra, y luego, de ser necesario accionar contra la entidad financiera por varios motivos: recuperar el dinero sustraído y rectificar la información sobre los créditos generados por los delincuentes a nombre de los clientes.