La expansión del home banking volvió más cómodo el acceso a los servicios financieros, pero también desplazó una parte relevante del riesgo hacia entornos digitales diseñados y administrados por las propias entidades. Un fallo reciente de la Cámara Nacional de Apelaciones en lo Comercial vuelve sobre esa tensión y marca un criterio importante: la entrega de claves en una maniobra de phishing no exime automáticamente al banco si sus sistemas no reaccionan frente a señales objetivas de fraude.
La decisión fue dictada el 10 de junio de 2026 por la Sala C en los autos “B., M. A. c/ HSBC Bank Argentina S.A. s/ sumarísimo”, expediente 13752/2023. El tribunal revocó el rechazo de primera instancia y condenó a la entidad a resarcir a una consumidora que sufrió transferencias no autorizadas desde su cuenta sueldo.
Para la Cámara, el punto decisivo no fue solo cómo ingresó el estafador, sino qué hizo el banco frente a un patrón de operaciones claramente anómalo.
Una estafa digital y cinco transferencias en pocos minutos
El caso comenzó con una modalidad conocida: un correo falso vinculado a servicios no contratados, una comunicación posterior por redes sociales y una llamada de un supuesto operador que prometía gestionar un reintegro. En ese contexto, la clienta terminó proporcionando su usuario de home banking y un código recibido por correo electrónico.
Después de esa interacción, su cuenta quedó bloqueada y se activó un dispositivo de seguridad digital. La mujer intentó comunicarse con el banco, pero el canal telefónico disponible le informó que la atención operaba de lunes a viernes de 8 a 20, mientras el hecho ocurría durante el fin de semana. En ese intervalo se realizaron cinco transferencias sucesivas hacia destinatarios desconocidos por un total de $1.464.000.
La sentencia tuvo especialmente en cuenta que las operaciones se hicieron en ráfaga, cada pocos minutos, y desde direcciones IP ubicadas en Córdoba y en Estados Unidos, aunque la clienta residía en Berazategui, provincia de Buenos Aires. Ese cruce de datos técnicos fue central para evaluar si el banco había cumplido su deber de prevención.
El límite de culpar al usuario
La primera instancia había considerado que la conducta de la propia víctima rompía el nexo causal, porque había entregado voluntariamente factores de autenticación. Ese razonamiento, frecuente en conflictos por fraude digital, pone todo el peso en el error del consumidor y deja en segundo plano el funcionamiento del sistema financiero que hizo posible el daño.
La Cámara tomó otro camino. Sostuvo que los bancos actúan profesionalmente, explotan canales digitales y deben responder con un estándar agravado de seguridad. En servicios como home banking y aplicaciones móviles, el entorno técnico no es externo al banco: es parte del servicio que ofrece.
Desde esa mirada, las credenciales válidas no alcanzan para cerrar el análisis. Si aparecen transferencias múltiples, montos relevantes, destinatarios desconocidos, cambios de localización o activaciones atípicas de dispositivos, la entidad debe contar con mecanismos de alerta y bloqueo preventivo razonables.
Deber de información y prevención activa
Otro aspecto relevante fue el deber de información. El banco alegó que difundía advertencias generales sobre phishing en su sitio web. Para el tribunal, esa estrategia no bastaba: no puede trasladarse al consumidor la carga de ingresar por iniciativa propia a buscar alertas, sobre todo si la entidad utiliza el correo electrónico para enviar códigos o comunicaciones sensibles.
La sentencia también ponderó antecedentes sobre debilidades de seguridad detectadas por el Banco Central de la República Argentina poco antes del hecho. La entidad no logró demostrar que esas fallas hubieran sido subsanadas oportunamente, lo que reforzó la conclusión sobre el incumplimiento del deber de seguridad.
En materia probatoria, el criterio dialoga con la lógica protectoria de la Ley de Defensa del Consumidor: quien controla la infraestructura técnica está en mejores condiciones de explicar qué ocurrió, qué alertas se generaron, desde dónde se operó y por qué no se detuvo la secuencia sospechosa.
Qué indemnización ordenó el tribunal
La Cámara condenó al banco a devolver el daño material correspondiente al dinero sustraído, con intereses. Además, reconoció daño moral por la angustia, incertidumbre y desamparo sufridos por la consumidora al ver vaciada su cuenta sueldo y no obtener una respuesta inmediata por los canales de atención disponibles.
En cambio, no admitió el daño punitivo. El tribunal entendió que, aunque hubo incumplimiento, no se había probado una conducta de gravedad excepcional, dolo o menosprecio deliberado que justificara la multa civil del artículo 52 bis de la Ley 24.240. También rechazó otros rubros que no habían quedado suficientemente acreditados.
Un criterio para futuros fraudes digitales
El fallo no elimina la importancia de la conducta prudente del usuario ni convierte al banco en asegurador absoluto de cualquier engaño. Pero sí fija una regla de equilibrio: la negligencia del consumidor no puede usarse como fórmula automática para borrar el deber profesional de seguridad.
En la práctica, la decisión fortalece los reclamos de consumidores cuando el fraude muestra señales técnicas evidentes que el banco podía detectar. También obliga a las entidades a revisar sus canales de atención fuera del horario comercial, sus alertas personalizadas y sus protocolos frente a operaciones en serie.
El mensaje jurídico es claro: en el ecosistema bancario digital, la seguridad no se agota en pedir claves. También exige monitorear comportamientos anómalos, actuar con rapidez y probar que el sistema respondió de manera razonable cuando el riesgo dejó de ser abstracto y se convirtió en una pérdida concreta.
