En una sentencia que protege a los usuarios financieros, un juzgado comercial de la Capital Federal condenó de manera solidaria a Telecom Argentina y al Banco Supervielle a indemnizar con $26 millones a un cliente al que le sustrajeron un millón de su cuenta mediante la estafa conocida como "SIM Swapping".

El fallo del juez Diego Paz Saravia envía un mensaje claro: este tipo de maniobra no es un riesgo que el usuario deba soportar solo, sino que las empresas que monopolizan la tecnología y la información no pueden trasladar sus fallas de seguridad a la parte más débil de la cadena: el consumidor.

Cómo fue la maniobra: tres transferencias en 5 minutos

El hecho ocurrió el 25 de junio de 2022, cuando W. M. realizó varias operaciones con su tarjeta de débito: a las 13 efectuó una extracción de $9.500 en un cajero de Avenida San Martín y poco después hizo varias compras.

Sin embargo, a las 19:30, la misma tarjeta fue rechazada en un local de Ramos Mejía. Tras realizar una consulta con el banco descubrió que, en ese ínterin y en solo cinco minutos, se habían ejecutado tres transferencias (dos por $500.000 y una por $77.000) a un destinatario desconocido para él de nombre J. C.S, con cuenta en el Brubank.

El cliente efectuó la denuncia policial contra la entidad bancaria, pero dos días después descubrió que los estafadores habían podido realizar la maniobra a través de su teléfono: Telecom ("Personal") había procesado un cambio de titularidad de su línea a favor de un tercero, L.D.A, sin su autorización.

Según surge del fallo, al tomar control del número de teléfono del cliente, los estafadores pudieron recibir los códigos de validación (SMS Token) que el Banco Supervielle utilizaba para autorizar operaciones, logrando así vulnerar el sistema de homebanking y vaciar la cuenta.

La responsabilidad de las empresas: seguridad deficiente

Al analizar los hechos, el magistrado rechazó los intentos de ambas empresas de deslindar responsabilidad.

Telecom Argentina S.A. planteó una "excepción de falta de legitimación pasiva", alegando que ellos solo proveen conectividad y son ajenos a la relación banco-cliente. Sostuvieron que el fraude fue un "hecho de un tercero" por el cual no debían responder.

Por su parte, el Banco Supervielle argumentó que el sistema funcionó "correctamente" porque el ingreso fue con usuario y clave correctos y se validó con el SMS Token enviado al teléfono registrado.

Los abogados de la entidad intentaron culpar al cliente por una supuesta "conducta imprudente" al facilitar sus datos o a la telefónica por permitir el cambio de SIM.

Sin embargo, la empresa de telefonía fue hallada responsable por permitir el cambio de titularidad de la línea y la emisión de un nuevo chip sin verificar adecuadamente la identidad del solicitante. El fallo resalta que esta negligencia fue la "llave" que permitió el fraude.

En tanto, sobre la entidad bancaria el juez determinó que falló en sus deberes de seguridad al no detectar una operatoria manifiestamente inusual: transferencias de montos elevados, sucesivas y realizadas desde una dirección IP radicada en el extranjero.

El juez enfatizó que el banco no adoptó medidas eficaces para bloquear transacciones que se apartaban del perfil habitual del cliente.

El dictamen pericial fue demoledor para las demandadas. Un experto informático que intervino en el expediente confirmó que el "intruso" conocía los mecanismos de validación de la operadora telefónica para autorizar el reemplazo de la tarjeta SIM. Al tener el nuevo chip, el estafador recibió los códigos de autenticación (2FA) y, con la contraseña de acceso, vació la cuenta.

Un detalle técnico crucial que el banco omitió detectar: las transacciones se realizaron desde una dirección IP radicada en la República de Chile. El juez señaló que esta atipicidad (monto elevado, reiteración y origen extranjero) debió haber activado bloqueos preventivos automáticos que el banco no ejecutó.

Devolución del capital más daño moral y punitivo

La sentencia encuadró el caso bajo la Ley de Defensa del Consumidor, aplicando un estándar de responsabilidad objetiva y agravada para ambas firmas.

En ese marco, el juez ordenó:

• La devolución del capital sustraído ($1.077.000) más intereses desde la fecha en que ocurrió el hecho (25/6/22) hasta la de la sentencia, aplicando la Tasa de Interés Moratorio del Banco Central. Esto totaliza $16.259.560

• Pagar una suma por el daño moral -que se fijó en $5.000.000- por "la angustia, incertidumbre e impotencia sufrida por el cliente al verse privado de sus ahorros y vulnerado en su privacidad". El magistrado fundamentó este monto buscando asegurar al damnificado un "momento prolongado de esparcimiento y ocio" (una semana en un hotel de categoría con todo pago) para compensar el mal momento vivido

• Fijar el daño punitivo: el juez calificó la conducta de las demandadas como "lisa y llanamente abusiva" y señaló que existió un traslado injustificado de riesgos y costos al consumidor, obligándolo a litigar por una cuestión que debió resolverse de buena fe. Por ese motivo, dispuso que cada una de las empresas le pague $2.500.000, al destacar que no pueden "desentenderse" de las consecuencias de sistemas de seguridad insuficientes. Esta sanción es personal y no solidaria: cada empresa debe pagar por su cuenta para que el incumplimiento les resulte "antieconómico"

"La imposición de la multa civil busca no solo reparar el daño individual, sino funcionar como un incentivo para que las grandes corporaciones inviertan en mecanismos de prevención reales en lugar de internalizar el costo de los fraudes como un simple riesgo del negocio", remarcó la resolución.

Los depósitos tuvieron un buen abril y cortaron tres meses de sequía

Economía & Negocios

Los denominados en pesos subieron tras la tendencia a la baja en el último trimestre, y pese a que se mantiene el apretón monetario; también mejoraron aquellos que están en dólares