Phishing, Vishing y Pharming
Como es sabido, en los últimos años la llamada revolución digital ha sido protagonista en la vida de todas las personas, quienes ven en su cotidianeidad cada vez más involucrado el uso de la tecnología. Dicha revolución, se ha acelerado significativamente en razón del contexto de emergencia que desde hace ya dos años estamos atravesando.
De esta manera, la totalidad de la población mundial ha tenido que ayornarse al uso de las distintas tecnologías y herramientas digitales para poder continuar con el curso normal – si se quiere- de sus vidas.
La trascendencia del uso de internet, la interconexión de las computadoras, y la posibilidad de trasmitir datos entre ellas, han permitido el nacimiento de nuevas modalidades delictivas que alcanzan niveles insospechados en todo el mundo, con un crecimiento exponencial a expensas del incremento de los internautas y su consiguiente posibilidad de realizar transacciones online.
A estas nuevas modalidades delictivas, se las denomina genéricamente como “ciberdelito”, entendido jurídicamente como un acto ilegal realizado por un ciberdelincuente, en el espacio digital a través de las redes informáticas y los dispositivos electrónicos. Dichos actos, atentan la integridad y confidencialidad de los datos y de los sistemas informáticos, y tienen el objetivo de provocar daños económicos y/o robar datos. El medio utilizado, son los llamados malwares o programas maliciosos, desarrollados para dañar, deteriorar, borrar, hacer inaccesibles, suprimir o alterar datos informáticos sin la autorización del propietario y con fines de causar un daño patrimonial a este.
Si bien existen numerosas especies de ciberdelitos, que se diferencian por la operatoria del ciberdelincuente, nos centraremos en los tres tipos de ciberdelitos de mayor impacto en la actualidad: phishing, vishing y pharming.
En los fraudes electrónicos, el phishing es tal vez la forma más antigua y usual de robo de identidad. La acepción literal de la palabra “phishing” en su idioma nativo, traducido como: “suplantación de identidad”; ha sido definido por la jurisprudencia como: “un término informático que engloba a un conjunto de técnicas que tienen por finalidad el engaño de la víctima, ganándose su confianza, haciéndose pasar por una persona, empresa o servicio confiable para manipular información sensible confidencial, o bien, forzar a que la víctima realice acciones que resultan directamente perjudiciales para sí”.[1]
En esta modalidad, por ejemplo, la víctima recibe un correo electrónico que supuestamente proviene del banco del cual es cliente, que le solicita actualizar información de su cuenta. Luego, se le pide que haga clic en un enlace que obra en el correo electrónico, y que lo dirige al supuesto sitio web del banco, pero que en realidad lo lleva a uno que se ve exactamente como el del banco, pero es fraudulento. Tras completar los campos solicitados, verá que se solicitaron préstamos personales, se adquirieron productos o se solventaron gastos con su nombre, entre otras operaciones.
Por su lado, el vishing consiste en una práctica fraudulenta que involucra en el uso de la línea telefónica convencional y de la ingeniería social para engañar personas y obtener información delicada como puede ser información financiera. El término es una combinación del inglés «voice» y phishing.
Por su parte, el pharming es una nueva amenaza, más sofisticada y peligrosa, que consiste en manipular las direcciones DNS (Domain Name Server) que utiliza el usuario. Consiste en un mail que llega vacío, y al hacer clic sobre él se instala un programa que engaña al navegador y lo hace ir a direcciones falsas.
A través de esta acción, los ladrones de datos consiguen que las páginas visitadas no se correspondan con las auténticas, sino con otras creadas para recabar datos confidenciales, sobre todo relacionadas con la banca online. El internauta introducirá sus datos confidenciales sin ningún temor, sin saber que los está remitiendo a un delincuente.
Marco legal. Obligación de seguridad y responsabilidad de las entidades bancarias.
La cuestión analizada, desde la óptica del derecho privado, se enmarca dentro del derecho consumeril, ya que el usuario/cliente engañado, reviste el carácter de consumidor, en tanto que la entidad bancaria se constituye como el proveedor.
La primera regla, la sienta el art. 42 de la Constitución y tiende a la protección de su salud, seguridad e intereses económicos de los consumidores. Por su parte, los arts. 5 y 6 de la Ley de Defensa del Consumidor establece que las cosas y servicios deben ser suministrados en forma tal que, utilizados en condiciones previsibles o normales de uso, no presenten peligro alguno para el consumidor, observando los mecanismos, instrucciones y normas establecidas o razonables para garantizar la seguridad de los mismos.
Por su parte, el BCRA reconoce los riesgos que implican las contrataciones bancarias por medios electrónicos. En este sentido, ha dictado una serie de comunicaciones tendientes a proteger a los usuarios. La comunicación «A» 6878 en el art. 3.8.5, dispone: «Las entidades deberán prestar atención al funcionamiento de las cuentas con el propósito de evitar que puedan ser utilizadas en relación con el desarrollo de actividades ilícitas…«. Asimismo, impone la obligación de las entidades en relación a la «implementación de mecanismos de seguridad informática que garanticen la genuinidad de las operaciones».
En la misma línea, mediante Comunicación «A» 6017, el art. 6.3.2.1, establece que «las entidades deben desarrollar, planificar y ejecutar un plan de protección de sus activos, procesos, recursos técnicos y humanos relacionados con los Canales Electrónicos bajo su responsabilidad…». Luego, enumera funciones y tareas relacionadas con los procesos estratégicos de seguridad, entre las cuales se ordena a las entidades adecuar los mecanismos implementados para la verificación de la identidad y privilegios de los usuarios, reducir la complejidad de uso y la maximización de la protección del usuario de servicios financieros, garantizar la trazabilidad completa de las actividades en un entorno seguro.
El art. 6.7.4. resalta que «las entidades deben disponer de mecanismos de monitoreo transaccional, que operen basados en características del perfil y patrón transaccional del cliente bancario, de forma que advierta y actúe oportunamente ante situaciones sospechosas en al menos uno de los siguientes modelos de acción: a. Preventivo. Detectando y disparando acciones de comunicación con el cliente por otras vías antes de confirmar operaciones. b. Reactivo. Detectando y disparando acciones de comunicación con el cliente en forma posterior a la confirmación de operaciones sospechosas. c. Asumido. Detectando y asumiendo la devolución de las sumas involucradas ante los reclamos del cliente por desconocimiento de transacciones efectuadas».
De este modo, la obligación de seguridad en las relaciones de consumo está presente en toda la contratación bancaria con consumidores. Su incumplimiento supone la responsabilidad de la entidad bancaria, salvo los supuestos de caso fortuito, fuerza mayor o culpa de un tercero por quien no debe responder.
No resulta en vano recordar que quienes han decidido la introducción de estas «máquinas» en el sistema bancario y, han promovido su uso, son los mismos bancos, el usuario simplemente tuvo que «acatar» el cambio en la manera de operar. Según lo ha señalado la jurisprudencia nacional, estas máquinas y sistemas electrónicos son cosas riesgosas, y que en no pocas oportunidades experimentan fallas de diversa índole.
El cliente, no puede hacer más que confiar en que el banco tomará los recaudos para evitar estafas. Es el proveedor el que tiene el deber de tomar medidas adecuadas de seguridad, para prevenir y evitar los hechos delictivos.
La obligación de seguridad impone a la entidad arbitrar todos los medios para evitar que el riesgo inherente al sistema se concrete en un daño para sus clientes. Ante la ocurrencia de este, el banco solo podrá eximirse de responsabilidad probando la presencia de una eximente que tendrá que cumplir necesariamente con los requisitos de imprevisibilidad, inevitabilidad, ajenidad, etc.
En el caso Bieniauskas, Carlos c/Banco de la Ciudad de Buenos Aires s/ordinario[2], el Tribunal actuante entendió “el sistema (software y hardware) que permite operar una red de cajeros automáticos puede ser calificado de cosa riesgosa… Cabe reparar que el Banco, al ofrecer a sus clientes un nuevo modo de relacionarse con él, debe procurar como mínimo brindarle igual seguridad que si tal operatoria se realizara personalmente…”.
Tal como puntualiza el voto del doctor Lorenzetti en un precedente de nuestro Máximo Tribunal «… se desprenden con claridad dos grupos de deberes perfectamente diferenciados. El primero de ellos constituye un catálogo de medidas mínimas que obligatoriamente deben adoptar las entidades regidas por la norma… el restante grupo establece un deber de conducta indeterminado, sujeto a la específica ponderación de los riesgos previsibles, con base en los Estudios de Seguridad que habrán de efectuar estas instituciones, entre otras finalidades, con el objeto de proteger a las personas» y cuya adopción queda a exclusivo criterio y responsabilidad de las mismas«.
En resumidas cuentas, la jurisprudencia argentina entiende que el banco debe responder por las consecuencias dañosas sufridas por los clientes en razón de la comisión de un ciberdelito, basándose en que las medidas de seguridad tomadas por la entidad fueron insuficientes para prevenir conductas engañosas, incumpliendo con ello la mentada obligación de seguridad.
Herramientas procesales para responder a la problemática.
El ordenamiento jurídico argentino, prevé distintas acciones que se pueden utilizar para hacer frente a esta problemática. En este sentido, contamos con medidas preventivas, tendientes a evitar que el perjuicio se concrete, y acciones resarcitorias, cuya finalidad es reparar aquel daño que ya se ha materializado.
Asimismo, en la jurisprudencia nacional encontramos numerosos ejemplos de acciones intentadas contra esta modalidad delictiva, que han sido acogidas por los tribunales nacionales.
A.-Tutela preventiva: tal como se ha señalado, estas medidas tienen por finalidad que el riesgo que amenaza al consumidor no se materialice, exigiendo al banco a cumplimentar adecuadamente con la obligación de seguridad que sobre esta pesa.
Así por ejemplo, se han otorgado de medidas cautelares tendientes a evitar el agravamiento de los daños ocasionados respecto de aquellos usuarios que se han visto afectados por estas estafas. La mayoría de las medidas cautelares que se han otorgado son medidas de no innovar o innovativas —según el caso—, tendientes a que la entidad bancaria se abstenga de cobrar los préstamos que se otorgaron como consecuencia de dichos ardides hasta tanto se resuelva la acción principal o por un tiempo determinado.
En el caso “Corvini, Alfredo Luis c/ BBVA Banco Francés SA s/medida precautoria”[3], el tribunal interviniente dictó una medida cautelar con efecto retroactivo contra una entidad financiera, indicando que la misma debía abstenerse de debitar las cuotas de un préstamo personal obtenido de modo fraudulento a un cliente y, además, reintegrar provisoriamente varias de las cuotas debitadas con anterioridad. En dicho expediente, el actor planteó una revocatoria con apelación en subsidio de la providencia que desestimó la ampliación de la medida innovativa, la que solo había dispuesto cautelarmente el cese del débito de las cuotas del préstamo personal obtenido mediante fraude, pese a que había quedado acreditada documentalmente la percepción de cuotas con posterioridad al inicio de la causa.
B.-Tutela resarcitoria: una de las acciones que suele entablarse frente a casos de phishing, vishing o pharming, es la de daños y perjuicios contra la entidad bancaria vinculada contractualmente con el consumidor o usuario estafado. Ello sin perjuicio que, en algunos casos en que se haya podido individualizar al estafador, también se inicien acciones contra él.
Limitando el análisis a las acciones que se entablan contra el banco en —la mayoría de las veces en el marco de una relación de consumo- cabe analizar en forma brevísima los cuatro presupuestos de la responsabilidad civil.
La conducta antijurídica, se encuentra dada por la infracciona a la mentada obligación de seguridad que pesa sobre la entidad bancaria – más allá de otras infracciones que en el caso particular puedan presentarse-.
Partiendo de las bases sentadas ut supra, conforme las cuales los sistemas informáticos empleados por las entidades bancarias son cosas riesgosas, el factor de atribución de responsabilidad es objetivo, a la luz de lo normado por los art. 1757, 1758 y concordantes del Código Civil y Comercial de la Nación. En función de ello, la entidad bancaria solo podrá deslindar su responsabilidad probando la existencia de caso fortuito, fuerza mayor o culpa de un tercero por quien no debe responder.
El daño patrimonial importa, el detrimento del patrimonio de la persona, que produce una merma en el patrimonio del damnificado. En este tipo de maniobras, en general, el daño patrimonial estará dado por los montos que hayan sido objeto de la extracción fraudulenta de las cuentas del cliente del banco como, así también, por las sumas que haya tenido que abonar en concepto de préstamo bancario otorgado sin su consentimiento.
Por su parte, el daño extra patrimonial es una minoración en la subjetividad de la persona humana, derivada de la lesión a un interés no patrimonial. Como es evidente, ser objeto de una ciberestafa de la naturaleza de las que estamos analizando, genera una minoración espiritual de gran trascendencia. No se trata de meras molestias sino de angustias que deben ser adecuadamente resarcidas.
En cuanto a la relación de causalidad, entre la conducta antijurídica de la entidad bancaria y el daño sufrido por el consumidor, no se puede dejar de considerar la calidad de experto o profesional del banco con relación al cliente. En esta línea se ha sostenido que las entidades financieras deben adoptar mayores recaudos habida cuenta de su condición de profesional debido a la obligación que asumen y la actividad que desarrollan, por ello debe apreciarse su conducta con un standard de responsabilidad agravada.
En definitiva, cuanto más compleja sea la actividad empresarial, más aumenta la obligación de sus organizadores de prever las consecuencias posibles de los hechos debiendo asegurar un correcto cumplimiento de la prestación a su cargo.
Otro tipo de acción intentada usualmente es la declarativa de nulidad de los créditos. Estas acciones, tienden a que se declare la nulidad de los créditos tomados sin consentimiento del titular de la cuenta bancaria vulnerada. Por tratarse estos préstamos de actos jurídicos celebrados con una voluntad viciada por dolo en el elemento intención.
Concluyendo, hoy en día el uso de la tecnología, con los riesgos que conlleva, resulta imprescindible. Como consumidores, debemos informarnos adecuadamente para hacer un uso consciente de este medio tan útil; y ante un ataque cibernético no debemos olvidar que el ordenamiento jurídico argentino, posee distintas acciones y medidas tendientes tanto a evitar la concreción o agravamiento del daño, cuanto a resarcir aquel que ya se producido. Teniendo, los tribunales nacionales posturas afines a las mismas, y existiendo numerosos antecedentes jurisprudenciales que dan cuenta de la tendencia protectoria del consumidor, de la justicia argentina.
Artículo: autoría de la Dra. Valentina Gabriela Angeloni
[1] JCiv. y Com. N.º 10 de La Plata, 27/08/2020, «Pedernera, Juan Alberto c. Banco de la Provincia de Buenos Aires s/ acción declarativa (trám. sumarísimo)», LLOnline AR/JUR/34631/2020
[2]http://www.saij.gob.ar/camara-nacional-apelaciones-comercial-nacional-ciudad-autonoma-buenos-aires-bieniauskas-carlos-banco-ciudad-buenos-aires-fa08971926-2008-05-15/123456789-629-1798-0ots-eupmocsollaf
[3] http://www.saij.gob.ar/camara-nacional-apelaciones-comercial-nacional-ciudad-autonoma-buenos-aires-corvini-alfredo-luis-bbva-banco-frances-sa-medida-precautoria-fa21130001-2021-03-15/123456789-100-0311-2ots-eupmocsollaf?
Leave a Reply