Sentecia definitiva Nº 133 de Secretaría Civil STJ N1, 17-10-2023

• Número de sentencia: 133
• Fecha: 17 Octubre 2023
• Emisor: Secretaría Civil STJ nº1

VIEDMA, 17 de octubre de 2023.

Reunidos en Acuerdo los señores Jueces y las señoras Juezas del Superior Tribunal de Justicia de la Provincia de Río Negro, R.A.A., S.M.B., S.G.C., L.L.P. y C.M.V. con la presencia de la señora S.R.C., para el tratamiento de los autos caratulados "BARTORELLI, E.G.C. PATAGONIA S.A. S/DAÑOS Y PERJUICIOS S/CASACION" (Expte. N° VI-31306-C-0000), elevados por la Cámara de Apelaciones en lo Civil, Comercial, Familia, Minería y Contencioso Administrativo de la Primera Circunscripción Judicial, a fin de resolver el recurso de casación interpuesto por la parte demandada deliberaron sobre la temática del fallo a dictar, de lo que da fe la Actuaria. Se transcriben a continuación los votos emitidos, conforme al orden del sorteo previamente practicado, respecto de las siguientes:

C U E S T I O N E S

1ra.-¿Es fundado el recurso?

2da.-¿Qué pronunciamiento corresponde?

V O T A C I O N

A la primera cuestión el señor R.A.A. dijo:

1.- Sentencia recurrida.

Las presentes actuaciones llegan a este Superior Tribunal de Justicia en virtud del recurso de casación interpuesto por la demandada Banco Patagonia S.A., contra la resolución dictada en fecha 29-09-22 por la Cámara de Apelaciones en lo Civil, Comercial, Familia, Minería y Contencioso Administrativo de la Primera Circunscripción Judicial.

Mediante dicha decisión, el Tribunal de Alzada confirmó la sentencia de Primera Instancia de fecha 28-12-21 dictada por la Jueza de grado que hizo lugar a la demanda de daños y perjuicios interpuesta por la señora E.G.B., declaró la nulidad del contrato de préstamo y condenó a la entidad crediticia al pago de una suma dineraria en concepto de daño emergente, daño moral y daño punitivo, con más los respectivos intereses, calculados de acuerdo a la doctrina legal sentada por este Cuerpo en autos "Fleitas" (STJRNS3 - Se. 62/18).

2.- Los agravios.

La entidad financiera impugna la sentencia aduciendo una incorrecta aplicación de la ley y una absurda interpretación de los hechos. Sostiene que no hay evidencia que demuestre que la demandante fue estafada y que la falta de pruebas de su relato, unida a su imprudencia, propició que una tercera persona accediera y operara en su cuenta bancaria.

Discute la aplicación del art. 40 de la Ley de Defensa del Consumidor (LDC) y del art. 1758 del Código Civil y Comercial (CCyC). Afirma que ambas normativas eximen de responsabilidad a aquellos que demuestren que la causa del daño no le es imputable. Y, en el caso, alega que fue la conducta temeraria de la víctima la causa exclusiva del daño.

Asevera que no se cumplen los requisitos exigidos por el art. 52 LDC, ya que niega haber propinado un trato indigno a la demandante. Sostiene que se le asigna responsabilidad por una acción -la reversión de las transferencias- que ya no podía ejecutar y que el caso no encaja en los precedentes "C." y "Daga", donde se determinó el carácter excepcional del daño punitivo.

Asimismo, niega la pertinencia de la indemnización por daño moral, argumentando que, si la demandante experimentó sufrimientos, éstos fueron el resultado de su propio accionar.

3.- Contestación de traslado.

La parte actora refuta estas alegaciones. Afirma que se trata de un caso de "phishing", que consiste en una técnica de ciberdelincuencia que utiliza el fraude, el engaño y el timo para manipular a sus víctimas y de esta manera lograr que revelen información personal de carácter confidencial.

Asegura que no hubo interrupción del nexo causal y que el daño se debe fundamentalmente a las severas deficiencias del sistema de seguridad bancario pues, aun existiendo hechos anteriores, no se adoptaron medidas efectivas de detección, prevención o resolución.

Insiste en que el daño se podría haber evitado si la entidad financiera hubiera implementado medidas de ciberseguridad adecuadas, acorde con su responsabilidad profesional y el deber de protección inherente a la relación de consumo. Defiende que su participación activa en un esquema de ingeniería social no implica negligencia y no exime de responsabilidad al banco.

En relación con el daño moral y punitivo, mantiene que están debidamente fundamentados y se cumplen los requisitos para su aplicación. En particular respecto del daño punitivo, expresa que la sentencia de Cámara acertadamente indica que resulta procedente no ya por la gravedad del hecho, sino por la escasa voluntad del Banco Patagonia en dar una respuesta adecuada e inmediata.

4.- Análisis y solución del caso.

La demandada se agravia principalmente al considerar que: 1) los arts. 40 LDC y 1758 CCyC han sido mal aplicados, toda vez que ambos eximen de responsabilidad a quien demuestre que la causa del daño le ha sido ajena; y 2) no se cumplen los requisitos para la aplicación del art. 52 LDC y que el caso no se ajusta a los precedentes "C." y "Daga" de este Superior Tribunal de Justicia.

4.1.- En cuanto al primer argumento, sobre la ruptura del nexo causal debido a la participación de la víctima en el daño, considero que los argumentos presentados no son suficientes para eximir a la entidad crediticia de la responsabilidad objetiva que se le atribuyó en instancias anteriores.

Los hechos y las evidencias presentadas sugieren que el caso involucra una modalidad de ingeniería social, esto es, una acción de engaño a las personas con el fin de que revelen información o realicen determinadas acciones (glosario de Ciberseguridad cit. en los Lineamientos del Banco Central sobre ciberseguridad cf. http://www.bcra.gov.ar).

El phishing es una técnica de fraude en línea utilizada por los ciberdelincuentes para manipular a las personas y obtener a traves de distintas técnicas información personal, como nombres de usuario, contraseñas y detalles de tarjetas de crédito. El delincuente toma contacto con la víctima a través de cualquier medio de comunicación y, con un componente de ingeniería social, lo engaña para que entregue voluntariamente la información solicitada (nombres de usuario, contraseña, números de cuenta, PIN, tarjetas de crédito, etc). (cf. B.C., T.M. "La captación ilegítima de datos confidenciales como delito informático en Argentina" X Simposio Argentino de Informática y Derecho (XLI JAIIO, La Plata, 27 al 31 de agosto de 2012), ISSN: 1850-2814 pág. 95 y ss).

4.2.- En este contexto, corresponde ahora analizar la responsabilidad de la demandada en base al reprochado incumplimiento del deber de seguridad inherente a las entidades bancarias, de conformidad a lo establecido en los arts. 1384, 1092, 1093, 1094, 1097 y ccdtes. del CCyC, que se complementa con las reglamentaciones dictadas por el Banco Central de la República Argentina en su condición de autoridad de aplicación. Ello, en el marco de una relación de consumo, que impone el resguardo de un amplio catálogo de derechos y garantías, que aquí amparan a la Sra. E.G.B. (art. 42 de la Constitución Nacional; arts. 5, 6, 40 y cc de la Ley N° 24.240; arts. 1, 3, 8, 9, y cc Ley Provincial N° 5.560).

En este sentido, cabe consignar que la actividad defensiva desplegada por la demandada estuvo direccionada principalmente a atribuirle a la actora su necesaria intervención para la concreción del evento dañoso. Más nada expuso ni intentó probar respecto de las medidas complementarias de seguridad que hubiese adoptado en atención a lo establecido en la Comunicación BCRA A N° 6017 del 15-07-16 y modificatorias, referente a los "Requisitos mínimos de gestión, implementación y control de los riesgos relacionados con tecnología informática, sistemas de información y recursos asociados para las entidades financieras".

La normativa indicada establece en su art. 6.7.4. que "las entidades deben disponer de mecanismos de monitoreo transaccional en sus CE que operen basados en características del perfil y patrón transaccional del cliente bancario, de forma que advierta y actúe oportunamente ante situaciones sospechosas en al menos uno de los siguientes modelos de acción: a) Preventivo. Detectando y disparando acciones de comunicación con el cliente por otras vías antes de confirmar operaciones. b) R.. Detectando y disparando acciones de comunicación con el cliente en forma posterior a la confirmación de operaciones sospechosas. c) Asumido. Detectando y asumiendo la devolución de las sumas involucradas ante los reclamos del cliente por desconocimiento de transacciones efectuadas" (cf. RMC004).

Asimismo, dispone que "las entidades deben implementar mecanismos de comunicación alternativa con sus clientes, con el objeto de asegurar vías de verificación variada ante la presencia de alarmas o alertas ocurridas dentro del monitoreo transaccional implementado" (cf. RMC005).

En su glosario se define a los mecanismos de identificación positiva como aquellos "procesos de verificación y validación de la identidad que reducen la incertidumbre mediante el uso de técnicas complementarias a las habitualmente usadas en la presentación de credenciales o para la entrega o renovación de las mismas. Se incluyen, pero no se limitan a las acciones relacionadas con: verificación de la identidad de manera personal, mediante firma holográfica y presentación de documento de identidad, mediante serie de preguntas desafío de contexto variable, entre otros." (pto. 6.6. Comunicación "A" 6017).

De igual manera, establece que "El monitoreo transaccional en los CE debe basarse, pero no limitarse a lo siguiente: a) La clasificación de ordenantes y receptores en base a características de su cuenta y transacciones habituales, incluyendo pero no limitándose a frecuencia de transacciones por tipo, monto de transacciones y saldos habituales de cuentas. b) Determinación de umbrales, patrones y alertas dinámicas en base al comportamiento transaccional de ordenantes y receptores según su clasificación." (cf. RMC011).

Del marco normativo referido surgen, como aspectos centrales del deber de seguridad que pesa sobre las entidades bancarias, por una parte la necesaria implementación de...