La responsabilidad por una estafa digital no se agota en verificar quién entregó la clave. Esa fue la idea central de un fallo de la Sala C de la Cámara Nacional de Apelaciones en lo Comercial, que revocó una sentencia de primera instancia y condenó a HSBC Bank Argentina por los daños sufridos por una clienta víctima de phishing.
Según los hechos informados en la sentencia, la usuaria recibió una comunicación telefónica vinculada con un supuesto reintegro de Telecentro y, bajo ese engaño, facilitó datos de acceso a su cuenta. Con esa información, terceros hicieron cinco transferencias por un total de $1.464.000.
Para la Cámara, aun cuando la clienta hubiera entregado sus credenciales, el banco debía advertir señales objetivas de una operatoria inusual y reaccionar a tiempo.
El punto que cambió el resultado
La primera instancia había rechazado la demanda porque entendió que la víctima había brindado a un tercero desconocido la información necesaria para operar en su cuenta: usuario, contraseña y código de activación del dispositivo de seguridad. Ese razonamiento ponía el peso principal en la conducta de la usuaria.
La Cámara Comercial tomó otro camino. Sin desconocer el engaño sufrido por la clienta, puso el foco en la conducta profesional de la entidad financiera. Para el tribunal, la secuencia de operaciones tenía rasgos que debieron activar mecanismos de prevención: conexiones desde direcciones IP no habituales, accesos detectados desde Córdoba y desde Estados Unidos, y cinco transferencias sucesivas a distintos destinatarios en pocos minutos.
Deber de seguridad e información
El caso vuelve sobre una tensión frecuente en los fraudes digitales: la entidad suele alegar que la operación fue validada con credenciales correctas, mientras que el usuario sostiene que el banco debía contar con controles capaces de detectar patrones anómalos. En ese marco, la Cámara hizo pesar el deber de seguridad propio de la actividad bancaria y el deber de información frente al consumidor financiero.
Un dato relevante fue que no se acreditó que la clienta hubiera recibido advertencias específicas y efectivas sobre la necesidad de no compartir credenciales o códigos de seguridad. Para los jueces, esa ausencia no era menor: en servicios digitales masivos, informar no consiste únicamente en publicar recomendaciones generales, sino en demostrar una comunicación adecuada al riesgo concreto de la operatoria.
La validación técnica no alcanza
El fallo no convierte al banco en responsable automático de cualquier fraude. Lo que marca es algo más preciso: cuando aparecen señales objetivas de alerta, la entidad debe poder explicar qué controles aplicó, por qué no bloqueó o demoró la operación y cómo cumplió sus protocolos de prevención.
En términos prácticos, la decisión distingue entre una operación formalmente autenticada y una operación materialmente compatible con el comportamiento del cliente. La diferencia importa porque el uso correcto de claves no siempre prueba que la operación haya sido segura. En escenarios de phishing, la autenticación puede ser apenas el resultado del engaño previo.
La condena y sus límites
La Alzada condenó a HSBC Bank Argentina a pagar $2.244.000, monto integrado por el reintegro del dinero sustraído y una indemnización por daño moral. En cambio, rechazó otros rubros reclamados, como pérdida de chance, daño punitivo y rectificación de información crediticia.
La solución muestra un criterio equilibrado: reconoce el daño derivado de la falta de reacción bancaria, pero no expande la condena a rubros que, según el tribunal, no quedaron suficientemente configurados. El núcleo del pronunciamiento queda en la responsabilidad civil por falla en la prevención, no en una sanción ejemplar.
Un precedente para la banca digital
La decisión se inscribe en una discusión cada vez más relevante para bancos, billeteras virtuales y usuarios: cómo repartir los riesgos de la seguridad digital cuando el fraude combina manipulación humana y fallas de monitoreo. La respuesta judicial apunta a que la entidad financiera no puede limitarse a decir que la clave fue correcta si, al mismo tiempo, la operatoria se apartaba de los patrones normales del cliente.
Para los consumidores, el fallo no elimina el deber de cuidado sobre credenciales y códigos. Pero sí refuerza una idea clave: en servicios financieros digitales, la seguridad es una obligación compartida, y los proveedores profesionales cargan con una exigencia técnica mayor cuando administran sistemas capaces de detectar movimientos atípicos.