TROLA MIRIAM ANALIA C/ BANCO DE LA PROVINCIA DE BUENOS AIRES S/ NULIDAD DE CONTRATO

Quién demanda: Miriam Analía Trola, cliente del Banco de la Provincia de Buenos Aires.

¿A quién se demanda?

Banco de la Provincia de Buenos Aires.

¿Cuál es el objeto del reclamo?

Nulidad del contrato de préstamo por $254.600 otorgado el 9/12/2020 mediante el servicio de homebanking BIP, prestación solicitada fraudulentamente por terceros mediante técnicas de ingeniería social (vishing). Se reclamó además $1.500.000 en daños punitivos, medidas cautelares para impedir descuentos y rectificación de la calificación de deudora morosa.

¿Qué se resolvió?

El Tribunal estimó la pretensión y declaró la nulidad absoluta del contrato de préstamo. Impuso daños punitivos por $4.000.000, ordenó la rectificación de la calificación crediticia de la actora, la restitución de cualquier suma debitada por concepto del crédito nulo, y condenó al banco al pago de costas. Fundamentos principales: El Tribunal sostuvo que "la totalidad de la prueba producida fortalece la versión de la actora, ya que el Banco tuvo sobradas razones para haber prevenido la solicitud del crédito en la cuenta de la actora. Y, si no lo hizo, fue porque, al momento de los hechos, el sistema informático del Banco tenía importantes vulnerabilidades de seguridad, las que llevaron a que la entidad no advirtiera la existencia de movimientos inusuales en la cuenta sueldo de su cliente." El análisis del Tribunal evidenció múltiples irregularidades que debieron activar alarmas preventivas en el banco: (i) un mail recién creado solicitó un crédito el mismo día de su registración (4/12/2020); (ii) el monto solicitado ($254.600) excedía más de siete veces los haberes mensuales de la actora ($34.763,25); (iii) la solicitud se realizó en horario inhabit y se concretó en sábado, patrones típicos de operaciones fraudulentas; (iv) las cuatro transferencias de salida se ejecutaron en apenas 6 horas y 10 minutos a través de cuentas de terceros; (v) se trataba de una cuenta sueldo con carácter alimentario. El Tribunal concluyó que "fue la propia conducta del banco --ente hiperprofesional-
- quien incumplió normativa del BCRA y su obligación de seguridad, la que permitió que, mediante engaños y mecanismos de ingeniería social, se pudiera obtener un crédito a nombre de la actora desde su cuenta a sueldo." Respecto de las vulnerabilidades del sistema, el peritaje informático determinó que: el sistema BIP Web no tenía capacidad de identificar la dirección MAC del dispositivo físico desde donde se operaba; al momento del hecho, el banco no utilizaba medidas de seguridad para identificar si el usuario entraba desde una IP inusual o desconocida (medidas que posteriormente implementó); el banco modificó su sistema de seguridad para los créditos Scoring, exigiendo un cuestionario que solo el cliente debe conocer, lo que "solo se explica en que el banco encontró una vulnerabilidad en el sistema anterior." El Tribunal enfatizó que "el hecho de que la actora haya proporcionado sus claves a terceros, no exime al demandado, ni siquiera parcialmente, de su responsabilidad, porque si la entidad financiera hubiera cumplido sus obligaciones los hechos de marras no habrían sucedido." Citó a Pizarro: "cuando el hecho de la víctima es imputable al demandado --objetiva o subjetivamente-
- resulta inviable para generar la eximente. Ello así porque, cuando el demandado es quien provoca la acción de la víctima, ésta se presenta como una mera consecuencia del acto del ofensor." Sobre la base normativa aplicable, el Tribunal señaló que "la actividad que desarrolla un banco resulta ser riesgosa a tenor de lo normado por el art. 1757 del Código Civil y Comercial, en tanto se incorpora el riesgo empresario." Consecuentemente, "el Banco Provincia ha de responder objetivamente por las consecuencias dañosas que pudieran derivarse de su actividad, a menos que demuestre la existencia de causa ajena (art. 1722 CCyC)." Respecto de la normativa específica incumplida por el banco, el Tribunal destacó:
- Comunicación A 6664 del BCRA (5/4/2019): establece que los usuarios de servicios financieros tienen derecho "a la protección de su seguridad e intereses económicos."
- Comunicación A 6878 del BCRA (24/1/2020): exige que "las entidades deberán prestar atención al funcionamiento de las cuentas con el propósito de evitar que puedan ser utilizadas en relación con el desarrollo de actividades ilícitas" y que "las entidades deberán adoptar normas y procedimientos internos a efectos de verificar que el movimiento que se registre en las cuentas guarde razonabilidad con las actividades declaradas por los clientes."
- Comunicación A 6017 del BCRA (15/7/2016): requería "mecanismos de monitoreo transaccional en sus canales electrónicos que operen basados en características del perfil y patrón transaccional del cliente bancario, de forma que advierta y actúe oportunamente ante situaciones sospechosas." El Tribunal concluyó que "la parte demandada, el Banco de la Provincia de Buenos Aires, aunque negó haber incumplido estas normas del BCRA --la antijuridicidad formal-
- no dio una explicación detallada de cómo las cumplió, y debía haberlo hecho en pos de una defensa verosímil." Sobre la nulidad del contrato, el Tribunal determinó: "el contrato de préstamo cuya nulidad se persigue fue celebrado sin manifestación de voluntad válida de la actora. En efecto, la operatoria se concretó mediante la utilización de sus credenciales por parte de terceros que las obtuvieron a través de un ardid --técnica de ingeniería social conocida como vishing--, facilitado, como se acreditó, por las vulnerabilidades del sistema de seguridad del banco. No hubo, en consecuencia, declaración de voluntad imputable a Trola en los términos del art. 971 del CCyC: el consentimiento, elemento esencial del contrato, está ausente." Sostuvo que "esa ausencia determina la nulidad absoluta del acto, en tanto el vicio afecta una norma de orden público." Respecto de los daños punitivos, el Tribunal consideró que procedía la imposición de multa civil por el "claro incumplimiento del BANCO DE LA PROVINCIA DE BUENOS AIRES de su obligación de prestar un servicio seguro y libre de vicios al consumidor o usuario." Para la cuantificación, ponderó: "(i) la gravedad del incumplimiento, que no fue un error aislado sino el resultado de operar durante años con un sistema de seguridad informática con vulnerabilidades estructurales, en violación de normativa específica del BCRA; (ii) el beneficio económico que el banco obtuvo -o intentó obtener
- al mantener un crédito generado fraudulentamente y reclamar su cobro a la actora; (iii) el daño efectivamente causado, que incluyó la calificación de la actora como deudora irrecuperable en el sistema financiero; (iv) el carácter alimentario de la cuenta afectada y la situación de consumidora hipervulnerable de la actora; y (v) la necesidad de que la sanción tenga real efecto disuasorio frente a una entidad de la envergadura del Banco de la Provincia de Buenos Aires."