La Justicia redefine responsabilidades: los bancos deberán responder por fraudes digitales incluso con phishing

• La Cámara Civil de Cipolletti responsabilizó a los bancos por fraudes digitales
• El fallo establece que incluso el phishing no exime a las entidades financieras
• Se abandona el criterio de “culpa del usuario” en favor del “riesgo creado”
• Los bancos deberán probar que actuaron con diligencia ante operaciones sospechosas
• Las ciberestafas crecen en Argentina y se vuelven cada vez más sofisticadas
• La decisión redefine las reglas de la banca digital y fortalece al consumidor

Un fallo de la Cámara Civil de Cipolletti introdujo un cambio significativo en la interpretación de la responsabilidad en casos de fraude digital, al establecer que las entidades financieras deben asumir el costo total de las estafas, incluso cuando el cliente haya sido víctima de engaños como el phishing. La decisión, que involucra al Banco Patagonia, marca un punto de inflexión en la jurisprudencia argentina en materia de banca digital y protección del consumidor.

El caso tuvo su origen en una maniobra de phishing, una modalidad de fraude que simula comunicaciones oficiales para obtener datos sensibles de los usuarios. A partir de un correo electrónico falso, los delincuentes lograron capturar credenciales de acceso y ejecutar una serie de operaciones en cuestión de minutos: modificaron datos de seguridad, habilitaron nuevos mecanismos de validación, realizaron transferencias y desviaron fondos hacia cuentas de terceros.

En una primera instancia judicial, la responsabilidad había sido distribuida entre el cliente y la entidad financiera. Sin embargo, la Cámara revisó esa decisión y concluyó que el elemento central no era la utilización de credenciales válidas, sino la falta de respuesta del sistema bancario frente a una secuencia de operaciones claramente inusual.

Según el criterio de los jueces, la sucesión de eventos —cambios de claves, incorporación de nuevos factores de autenticación y transferencias de alto monto en un lapso breve— debió haber activado mecanismos de alerta y bloqueo preventivo. La ausencia de esas respuestas fue interpretada como un incumplimiento del deber de seguridad por parte del banco.

El fallo consolida así un cambio de enfoque en la Justicia argentina: el abandono de la noción de “culpa del usuario” como argumento principal de defensa de las entidades financieras. En su lugar, se aplica la teoría del riesgo creado, que establece que quien desarrolla y explota una actividad riesgosa —en este caso, la banca digital— debe asumir las consecuencias derivadas de su funcionamiento.

Este criterio encuentra respaldo en normas como la Ley de Defensa del Consumidor y el Código Civil y Comercial de la Nación, que reconocen la existencia de una relación asimétrica entre bancos y usuarios. Mientras las entidades controlan la infraestructura tecnológica y obtienen beneficios económicos, los clientes carecen de herramientas para detectar fraudes cada vez más sofisticados.

En ese marco, entregar datos bajo manipulación —como ocurre en los casos de phishing— deja de ser considerado una negligencia grave y pasa a interpretarse como una consecuencia previsible del entorno digital. La responsabilidad, entonces, se traslada hacia quien tiene la capacidad técnica de prevenir estos eventos.

Otro aspecto relevante del fallo es la inversión de la carga de la prueba. A partir de este criterio, será el banco quien deberá demostrar que actuó con diligencia: que sus sistemas funcionaron correctamente, que detectaron comportamientos anómalos y que intentaron frenar la operatoria fraudulenta. En caso de no poder acreditarlo, la decisión judicial tenderá a favorecer al usuario.

La resolución se inscribe en un contexto de crecimiento sostenido de los delitos informáticos en el país. Datos de la Unidad Fiscal Especializada en Ciberdelincuencia indican que las denuncias por ciberestafas aumentaron más de un 20% en el último año. A las modalidades tradicionales se suman nuevas variantes como el vishing, el smishing y esquemas más complejos de fraude organizado.

Frente a este escenario, el Banco Central de la República Argentina reforzó las exigencias regulatorias mediante distintas comunicaciones que obligan a las entidades a implementar controles más estrictos. Entre ellos, se incluyen el monitoreo de patrones inusuales, la validación reforzada de identidad y la aplicación de demoras en operaciones sospechosas.

El incumplimiento de estas normas no solo implica sanciones administrativas, sino que también puede derivar en responsabilidades judiciales más severas. De hecho, los tribunales comenzaron a aplicar medidas adicionales, como daños punitivos, con el objetivo de generar incentivos para mejorar los estándares de seguridad.

En perspectiva, el fallo de Cipolletti no se limita a resolver un caso particular, sino que redefine el marco en el que se desarrolla la banca digital en Argentina. La decisión envía una señal clara: la seguridad ya no puede ser trasladada al usuario como una carga individual, sino que debe ser garantizada por las entidades que operan el sistema.

En un contexto donde las tecnologías emergentes prometen sofisticar aún más las maniobras de fraude, el desafío para el sistema financiero será adaptarse a un modelo en el que la confianza se construya sobre la base de controles más estrictos, prevención efectiva y responsabilidad institucional.