En un fallo histórico en el ámbito de la ciberseguridad, un Tribunal de La Plata responsabilizó a un banco por no haber implementado medidas preventivas suficientes en un caso de estafa digital que afectó a una pyme de Chivilcoy.

El juez Juan José De Oliveira, a cargo del Juzgado en lo Civil y Comercial Nº 9 Departamental, determinó que la entidad bancaria incumplió con su deber de seguridad al no monitorear ni controlar adecuadamente las operaciones realizadas desde la cuenta de la empresa. Como resultado, el banco fue condenado a pagar casi $140 millones, cifra que incluye 100 canastas básicas por el incumplimiento de medidas de seguridad en sus operaciones electrónicas, además de la devolución de los fondos sustraídos a la pyme mediante transferencias fraudulentas.

El incidente ocurrió el 20 de marzo de 2023, cuando José Luis Aronna, socio gerente de Grupo Logística Uno, intentó realizar una transferencia a un proveedor a través del sistema de homebanking del BBVA. Durante la operación, la pantalla se congeló, y minutos después, la empresa descubrió que se habían realizado 18 transferencias no autorizadas, por un total de $39.999.342,29, y que también se había solicitado un préstamo no autorizado de $3.500.000.

Las transferencias fueron dirigidas a cuentas bancarias de personas y empresas desconocidas, algunas de las cuales estaban en una "lista negra" de cuentas fraudulentas mantenida por el propio banco. La empresa presentó una denuncia ante la entidad y también una denuncia penal por defraudación informática, que aún está en trámite.

En el fallo, el perito informático determinó que la computadora de la empresa había sido infectada por un virus malware. Al ingresar al homebanking, Aronna introdujo sus claves y el token habitual, pero esa vez, la pantalla se congeló. A partir de ese momento, el malware capturó las credenciales y permitió que los ciberdelincuentes accedieran a la cuenta y vaciaran los fondos en menos de 30 minutos, desviando el dinero a cuentas bancarias ajenas.

El juez consideró que el caso debía enmarcarse dentro de una relación de consumo, amparada por la Ley de Defensa del Consumidor (Ley 24.240), dado que el servicio bancario no estaba destinado a formar parte de un proceso de producción, sino a facilitar operaciones financieras cotidianas. Además, el fallo hace referencia a la Circular A.7969 del Banco Central de la República Argentina, que establece estándares de protección para los usuarios de servicios financieros, tanto personas físicas como jurídicas.

Uno de los puntos clave del fallo fue la obligación de seguridad que recae sobre el banco al ofrecer servicios electrónicos como el homebanking. El juez sostuvo que, al proporcionar estos servicios, la entidad asumió la responsabilidad de garantizar la seguridad y confiabilidad de su sistema.