Documento

Título: Las nuevas tecnologías y los desafíos para las entidades financieras

Autor: Lepiane, Martín
Publicado en: RDCO 286, 27/10/2017, 1395
Cita Online: AR/DOC/4058/2017

I. Introducción
El fallo de la sala B de la Cámara Nacional de Apelaciones en lo Comercial que se analiza en estas líneas
brinda una oportunidad para plantar el debate sobre cómo las nuevas tecnologías impactarán en la tradicional
actividad de las entidades financieras.
Afortunadamente, tanto el Banco Central de la República Argentina como las entidades financieras, han
demostrado una gran capacidad de adaptación y evolución, en especial a partir del año 2016, cuando las nuevas
autoridades   del   Banco   Central   emprendieron   el   camino   de   la   modernización   de   la   actividad   financiera   en
nuestro país.
II. El caso
Del relato de los hechos que surge de la sentencia de Cámara, se desprende que dos personas humanas eran
cotitulares de un depósito bancario reprogramado por las normas de emergencia del año 2001. Uno de ellos
había fallecido y alguien, utilizando su tarjeta y su clave, extrajo el depósito de la entidad financiera. El otro
cotitular,   actor   en   el   juicio,   se   agravió   de   esta   circunstancia   y   realizó   el   planteo   contra   la   entidad.   Alegó
"vaciamiento de la cuenta" e imputó responsabilidad al banco.
El banco negó tener conocimiento del fallecimiento del cotitular y adujo que la actora no había impugnado
los movimientos de la caja de ahorro conjunta en el plazo de 30 días.
De la prueba surgió que, efectivamente, el retiro de los fondos se produjo luego del fallecimiento de uno de
los cotitulares y que la herencia resultó vacante. Es decir, no existían herederos forzosos que tuvieran posesión
de la herencia. Ello implica que quien retiró el dinero no tenía derechos hereditarios sobre las sumas extraídas.
Además, no sólo retiró la porción del causante, sino la totalidad del depósito.
En primer lugar, cabe destacar el correcto encuadramiento por parte del tribunal en cuanto al  ámbito de
responsabilidad. Es decir, alejándose de la errónea corriente que interpreta que toda responsabilidad frente al
consumidor es objetiva, se realizó un análisis de la conducta de las partes.
Por lo tanto, el hecho esencial para dirimir el litigio era determinar si el banco conoció el fallecimiento del
cotitular   con   anterioridad   al   retiro   de   los   fondos.   Dado   que   en   el   expediente   no   pudo   demostrarse   tal
circunstancia, tanto el tribunal de primera instancia como la Cámara fallaron a favor del demandado.
III. Las normas actuales
Las normas OPASI­2 del Banco Central, establecen recaudos respecto de la utilización de tarjetas de débito
y el uso de cajeros automáticos (1) que las entidades financieras que proporcionen tarjetas magnéticas para ser
utilizadas en la realización de operaciones con cajeros automáticos deben recomendar a los usuarios.
Estos recaudos mínimos son, entre otros, los siguientes:
(a) cambiar el código de identificación o de acceso o clave o contraseña personal (password, PIN) asignada
por la entidad, por uno que el usuario seleccione, el que no deberá ser su dirección personal ni su fecha de
nacimiento u otro número que pueda obtenerse fácilmente de documentos que se guarden en el mismo lugar que
su tarjeta;
© Thomson Reuters Información Legal 1
 Documento

(b) no divulgar el número de clave personal ni escribirlo en la tarjeta magnética provista o en un papel que
se guarde con ella;
(c) no digitar la clave personal en presencia de personas ajenas;
(d) guardar la tarjeta magnética en un lugar seguro y verificar periódicamente su existencia;
(e) si el cajero le retiene la tarjeta o no emite el comprobante correspondiente, comunicar de inmediato esa
situación al banco con el que se opera y al banco administrador del cajero automático; etc.
IV. Las nuevas tecnologías
Si bien, en el caso que se comenta, existió un abuso de utilización de la tarjeta de débito por parte de un
tercero, ello es relativamente controlable siguiendo los recaudos establecidos en las normas del Banco Central.
No obstante, se plantea un riesgo aún mayor cuando se implementen las nuevas tecnologías que el  Banco
Central está promoviendo para la banca móvil.
En efecto, a partir del año 2016 el Banco Central impulsó fuertemente una serie de normas para facilitar la
banca móvil o no presencial, creando nuevos mecanismos para pagos y transferencias, facilitando la apertura de
cuentas y permitiendo la utilización de teléfonos celulares para operaciones bancarias.
Una de estas medidas consistió en la implementación de mecanismos para transferencias inmediatas de
fondos. Esto incluye además de los mecanismos existentes (cajeros automáticos y home banking) los siguientes:
(a) billetera móvil (transferencias de celular a celular a través de una aplicación para teléfonos móviles);
(b) POS móvil (transferencias iniciadas por medio del deslizamiento de una tarjeta por un dispositivo lector
que se conecta al celular);
(c) botón de pago (transferencias cursadas a través de un botón de pago, que sirve para realizar pagos en
línea e insertar en la propia web) (2).
A diferencia de las tarjetas de crédito, los pagos se acreditan inmediatamente en la cuenta del receptor y
permiten comprar, pagar, enviar y recibir dinero de manera más fácil y práctica. Es decir, se crearon nuevos
mecanismos para el pago inmediato que reemplazan a la tarjeta de débito.
Inicialmente, por motivos de seguridad el importe máximo de transferencias mediante la plataforma de
pagos móviles será de un importe acumulado que no exceda el equivalente a un salario mínimo, vital y móvil —
establecido por el Consejo Nacional del Empleo, la Productividad y el Salario Mínimo, Vital y Móvil para los
trabajadores   mensualizados   que   cumplan   la   jornada   legal   completa   de   trabajo—   vigente   al   cierre   del   mes
anterior   pudiendo   exceder   ese   límite   en   tanto   se   consideren   medidas   complementarias   de   seguridad.
Actualmente, dicho monto es de $ 8.860.
En   las   normas   RUNOR   se   establecen   ciertos   parámetros   mínimos   de   seguridad   informática   para   estos
mecanismos (3). En línea con lo indicado, y adicionalmente a las medidas de seguridad que hayan adoptado de
acuerdo   con   los   perfiles   de   sus   clientes,   las   características   de   sus   cuentas,   los   movimientos   que   efectúen
normalmente y otros criterios, se permite que las entidades financieras apliquen bajo su responsabilidad, los
siguientes cursos de acción: (a) el diferimiento de la efectivización de las transferencias cuando la transacción
sea considerada por la entidad financiera como inconsistente respecto de los parámetros de seguridad adoptados,
(b) la reversión de los débitos y/o créditos por las transferencias inmediatas cuando la inconsistencia de la
operación respecto a esos parámetros, se haya detectado con posterioridad a la efectivización del débito y/o
crédito en cuestión.

© Thomson Reuters Información Legal 2

 Documento

Por su parte, el BCRA también amplió la figura de débito automático (DEBIN), habilitando a las entidades
financieras y a otras empresas de medios de pago, a poder extraer fondos de las cuentas bancarias de sus
clientes, previa autorización de los mismos, para cursar pagos.
Según la norma  (4)  se trata de un medio de pago que debita la cuenta del cliente bancario una vez que
autorizó el respectivo cobro de algún bien y/o servicio. El sistema contempla (a) una solicitud de autorización de
débito ingresada por el vendedor o proveedor de servicios, a ser autorizada por el comprador, (b) la autorización
del débito en línea por parte del comprador, (c) el débito en línea en la cuenta del comprador, y (d) el crédito en
línea en la cuenta del vendedor o proveedor del servicio. Como se puede apreciar, tiene una funcionalidad
similar a la de la tarjeta de débito, pero no implica la utilización de una tarjeta.
Adicionalmente a los medios de pago creados por las normas del Banco Central, se suma la posibilidad de
abrir cajas de ahorro en forma no presencial  (5). En efecto, se dispone que, las entidades financieras admitan
que personas humanas no clientes gestionen la apertura de cajas de ahorro a través de medios (electrónicos o de
comunicación) que les permitan obviar su presencia física en la entidad. A tal fin, se resuelve que deberán
adoptar   procedimientos,   tecnologías   y   controles   que   permitan   verificar   la   identidad   del   solicitante   y   la
autenticidad de los datos recibidos.
V. Los desafíos jurídicos
Como   se   puede   apreciar,   nuevas   tecnologías   pueden   permitir   la   apertura   de   cuentas   a   distancia   y   las
transferencias inmediatas por diversos mecanismos. Esto dista mucho de la banca tradicional  en la cual el
cliente se presentaba personalmente en la sucursal, era identificado y firmaba físicamente los documentos de
transferencia. Incluso plantea desafíos tecnológicos más complejos que los que provienen del home banking y
del uso de las tarjetas de débito y crédito.
Obviamente, la primera herramienta para brindar seguridad debe ser una tecnología que sea confiable. Pero
el   derecho   no   puede   desentenderse   del   tema.   Ante   lo   novedoso,   lo   recomendable   es   evitar   las   normas
excesivamente detalladas y anclarnos en los principios del  derecho y en una razonable distribución de los
riesgos.
Los precedentes existentes son dispersos y no establecen bases suficientes para estos desafíos. Por ejemplo,
en el caso "Bieniauskas Carlos, c. Banco de la Ciudad de Buenos Aires" (6) se condenó a la entidad financiera a
restituir al cliente la suma que le fuera sustraída fraudulentamente de su caja de ahorro y a indemnizar el daño
moral que dicha extracción le ocasionara al damnificado.
Como explica la doctrina que comenta el caso, "a través de un ardid, terceros ajenos a la entidad demandada
lograron que el titular de la caja de ahorro les revelara su PIN o clave de seguridad, lo que les permitió extraer
de un cajero automático el saldo depositado en la citada cuenta. La Cámara consideró que el vínculo contractual
entablado entre el cliente y el banco revestía la naturaleza de una relación de consumo (lo que es innegable) y
que dicho encuadre daba lugar a la aplicación del factor de atribución objetivo, debiendo el banco indemnizar a
la víctima con prescindencia del reproche axiológico que se pudiera realizar en contra del primero" (7).
Coincido con el autor citado respecto del disenso con las líneas argumentales desplegadas por la Cámara en
este caso, sobre todo en lo atinente al encuadre de la responsabilidad como objetiva.
El fallo que aquí se comenta recepta una solución más acorde con la realidad y con la equidad. Es decir,
únicamente   si   el   titular   hubiera   dado   aviso   a   la   entidad   del   hecho   (sustracción   de   clave)   o,   en   este   caso,
fallecimiento del cotitular, la entidad tendría algún reproche.
© Thomson Reuters Información Legal 3
 Documento

Otro cambio tecnológico que, en su momento, planteó cuestiones novedosas fue la utilización de tarjetas de
crédito. De hecho, la duplicación de tarjetas continúa siendo un problema frecuente en la actualidad. La doctrina
nos   señala   que   "los   primeros   casos   de   fraudes   con   tarjetas   de   crédito   plantearon   serias   dificultades   para
subsumir correctamente las conductas en el plano jurídico­penal consistente en su utilización, lo cual hizo que
fueran vinculados al delito de estafa y se trató de encajar esta nueva modalidad delictiva dentro de los moldes
estrechos de dicho tipo clásico" (8).
La respuesta de nuestro ordenamiento fue la incorporación del inc. 15 al art. 173 del Código Penal que
sanciona al "(...) que defraudare mediante el uso de una tarjeta de compra, crédito o débito, cuando la misma
hubiere sido falsificada, adulterada, hurtada, robada, perdida u obtenida del legítimo emisor mediante ardid o
engaño,   o   mediante   el   uso   no   autorizado   de   sus   datos,   aunque   lo   hiciere   por   medio   de   una   operación
automática".
Este desafío será aún mayor en los delitos complejos a través del uso de la informática. Como explica la
doctrina, se trata de "casos de defraudación informática efectuados a través de la red mediante la figura del 173
inc. 16 se logran a través de cualquier manipulación de un sistema de procesamiento de datos efectuado a
distancia, es donde ya se perfila un individuo con conocimientos más profundos y específicos en cuestiones
vinculadas con la informática. Dentro de éste segmento los sujetos activos despliegan técnicas y procedimientos
específicos de variada complejidad, como por ejemplo, el phishing, pharming o creación de una página falsa
(por ejemplo simulando a la web de una entidad bancaria), dispositivos sniffing que capturan los datos en redes
wifi sin introducirse a una terminal, mediante keylogger que es un software malicioso que registra todos los logs
que un usuario realiza en su teclado, entre otras prácticas" (9).
Cabe destacar que la ley 26.388, incluyó el inc. 16 al art. 173 del Código Penal, por el cual se reprime al que
defraudare a otro mediante cualquier técnica de manipulación informática que altere el normal funcionamiento
de un sistema informático o la transmisión de datos.
No obstante, en todos los casos, la solución puede encontrarse en una equitativa distribución de cargas y
responsabilidades. La entidad debe asegurarse de que los datos sean debidamente encriptados y que no puedan
ser interceptados. El cliente debe dar aviso inmediato de los incidentes que puedan derivar en una falla de
seguridad   (por   ejemplo,   robo   de   claves),   y   asegurarse   de   utilizar   dispositivos   con   medidas   de   seguridad
adecuadas   (uso   de   redes   wifi   seguras,   instalación   de   programas   que   brinden   protección   ante   ataques
informáticos, etc.). Asimismo, es recomendable limitar el monto máximo de las transferencias admitidas.
Similarmente,   como   ocurre   en   los   casos   de   falsificación   de   tarjetas   de   crédito,   los   bancos   pueden
implementar herramientas informáticas que permitan detectar movimientos inusuales o desvíos respecto de los
consumos del cliente. En el caso de las tarjetas, por ejemplo, se suele requerir confirmación de datos en el
comercio ante compras de magnitud, e incluso se suelde dar aviso al titular de consumos inusuales o en otros
países,   justamente   para   poner   en   su   conocimiento   posibles   consumos   no   autorizados   o   una   situación   de
falsificación de datos. Esta diligencia adicional por parte de las entidades financieras es de gran relevancia para
valorar su conducta y reforzar la buena fe.
VI. Conclusiones
Considero acertada la postura del tribunal de primera instancia y de la Cámara en la subsunción jurídica de
la responsabilidad en el plano subjetivo. Existen ciertas cargas que pesan sobre los usuarios y clientes que
conciernen a resguardar la seguridad de sus claves y mecanismos de acceso a sus cuentas. En el caso del

© Thomson Reuters Información Legal 4

 Documento

fallecimiento de un cotitular, la entidad no tiene forma de conocer dicho evento si no es notificada de alguna
manera.
A los casos que suelen suceder en el uso de tarjetas de débito y crédito y home banking, se sumarán otros
más complejos, derivados de la implementación de novedosos mecanismos previstos en las normas del Banco
Central. Específicamente, la apertura no presencial de cuentas se enfrenta al riesgo de sustitución de identidad.
Por su parte, las plataformas de pagos móviles, y el débito inmediato presentan riesgos propios de la seguridad
informática además de los existentes en cuanto a sustracción de claves o engaños al cliente.
Si bien se han incorporado figuras penales para estos casos, el desafío legal se presenta al momento de
interpretar la conducta del cliente, de la entidad y de quien cometió el delito. Nuevamente, considero que el
análisis de la conducta debe hacerse en el ámbito de la responsabilidad subjetiva y tomando como parámetro
rector la buena fe. Asimismo, la distribución los deberes debe ser acorde con la estructura de cada una de las
partes. Esto debería, en mi opinión, promover que las entidades implementen medidas que puedan detectar
desvíos o inconsistencias para alertar al cliente. Por su parte, los clientes deberán extremar recaudos en cuanto al
resguardo   de   sus   claves,   acceder   a   estos   mecanismos   a   través   de   dispositivos   seguros   siguiendo   las
recomendaciones que se incluyen en las normas del Banco Central y en los acuerdos con las distintas entidades.
 (1)   Normas   OPASI­2   I.   Depósitos.   2.   Depósitos   de   ahorro,   cuenta   sueldo   y   especiales.   Sección   4.
Disposiciones generales.
 (2) Comunicación "A" 6242.
 (3)  Normas  RUNOR. XXXIV. Requisitos operativos mínimos del   área  de sistemas de  información.  2.
Requisitos   mínimos   de   gestión,   implementación   y   control   de   los   riesgos   relacionados   con   tecnología
informática, sistemas de información y recursos asociados para las entidades financieras. Sección 6. Canales
electrónicos.
 (4) Comunicación "A" 6099.
 (5) Comunicación "A" 6059.
 (6) Fallo completo publicado en LA LEY del 21/07/2008, con nota de Juan Manuel PREVOT.
 (7) MAZZINGHI, Marcos, "Responsabilidad del banco por la extracción fraudulenta de fondos", LA LEY
del 01/09/2008, 6; LA LEY, 2008­E, p. 248.
 (8) ROMERO VILLANUEVA, Horacio J., "La defraudación mediante tarjetas", cita online 0003/013177.
 (9) VANINETTI, Hugo A., "Estafa en Internet. Transferencia electrónica de fondos. Operatoria de home
banking. La competencia en los delitos informáticos", Suplemento Penal, febrero 2017, p. 11; LA LEY, 2017­A,
p. 312.

© Thomson Reuters Información Legal 5