EL BCRA ELEVA LA VARA DE LA SEGURIDAD.



Como todos saben, los ciudadanos argentinos venimos sufriendo uno de los abusos empresariales más masivos y preocupantes que trajo la Pandemia COVID-19: LAS ESTAFAS VIRTUALES, y como consecuencia de los preocupantes índices de aumento que se vislumbran respecto de dicha modalidad delictiva, la última noticia al respecto es que el Banco Central de la República Argentina se expidió al respecto a fin de obligar a la entidad que el mismo controla para que eleven las medidas de seguridad a favor de sus clientes.


Recordemos las bases de esta premisa: más allá del ciberdelincuente de turno (del que se hará cargo la Justicia Penal), acá vendríamos a poner el centro de nuestra óptica en la responsabilidad de la entidad bancaria que NO ESTÁ CUMPLIENDO CON EL DEBER DE SEGURIDAD A SU CARGO, ya que no está evitando que estos malvivientes lleguen a nosotros y nos vulneren.


Entre los hechos más comunes que venimos viendo que acontecen entren los desprotegidos usuarios de entidades bancarias, son los préstamos personales que un ciberdelincuente solicita a nombre del usuario víctima, y se transfiere el dinero que alegremente otorga el Banco sin mayores recaudos, el malviviente logra hacer esto a través de distintas maniobras que lleva a cabo luego de una meticulosa ingeniería social sobre sus víctimas con las que logra contactarlos y de una manera o de otra (a través de un malware o de phishing que les sustrae los datos de la tarjeta o engañándolos para hacerse de sus claves).


Ahora, cuando esto sucede, la primera reacción del usuario bancario y víctima es acudir a la comisaría más cercana y radicar la denuncia por la estafa, a fin de que se investigue el ciberdelito. Este conocimiento es más popular que el sistema de reparación civil que podría recaer también sobre el Banco, y esto ocurre porque la gente está más informada sobre las herramientas de sede penal que sobre las herramientas indemnizatorias de sede civil.


Cabe destacar que esta desinformación que hay en la comunidad respecto de la totalidad de herramientas con las que cuenta la gente, viene por desidia del Estado en lo que hace a la “Educación para el Consumo” que debería ejercer conforme la Ley 24.240 para sus ciudadanos, pero sin olvidar que esta desinformación también es patrocinada por los propios Bancos, que entrenan a sus empleados a direccionar dichos reclamos a la sede penal y emiten un discurso para deslindarse de responsabilidad poniendo el foco del usuario en el delincuente y no en el respaldo que el propio Banco debería darles.


Es así como el testimonio de miles de víctimas de estas estafas es gemelo respecto de lo que les contestan los empleados de Atención al Cliente del Banco cuando denuncian estas situaciones: les manifiestan que “llueven los casos de este tipo” y que “el Banco ha tomado como política empresarial NO RESPONDER ante los mismos, ya que debe hacerse cargo el delincuente ante la Justicia Penal”. Ante eso, solo queda reconocerle al Banco la astucia para deslindarse de la responsabilidad objetiva que le cabe, ya que no hay mejor “mentira” que la que comienza con una premisa verdadera (el hecho de que el ciberdelincuente debe hacerse cargo en sede Penal).


Además -dato no menor- no dejemos de ver como es el propio Banco quien omitiendo cancelar el préstamo otorgado al delincuente u omitiendo detener la transferencia de los fondos a la cuenta del mismo, termina obteniendo ganancia a su favor. Es como un truco de magia: le hago ruido por aquí donde mantengo su atención en la sede penal y en el ciberdelincuente, mientras por allá el Banco está cobrando comisiones, intereses de financiación y etcéteras mientras tanto.

Aquí comienza a tener un poco de sentido el por qué el Banco no se esmera en desarticular la maniobra delictiva que se harta de repetirse día a día. Claramente si es proactivo el impedir estos falsos préstamos, pierde sus ganancias también respecto de ellos. Es decir, que le es mas redituable (porque cobra a partir de ello) dejar que el delincuente se salga con la suya, que proteger a su propio cliente.


Así las cosas, cabe aclarar que nadie duda que ese malviviente ciberdelincuente debe responder ante la Justicia Penal y que es responsable de lo acontecido, PERO NO ES EL ÚNICO RESPONSABLE. A la responsabilidad que se da en sede penal, se le suma la responsabilidad civil que se da en tribunales civiles y comerciales, donde el responsable de no haber evitado la situación de vulneración, de la cual el delincuente se aprovechó, es el Banco mismo.

Por eso, el usuario bancario debe hacer las dos cosas: la denuncia en la comisaría y el reclamo en el banco para hacer luego (en caso de no responder el Banco) la demanda en Tribunales Civiles y Comerciales para ser resarcido del daño sufrido por la omisión de la entidad.

Cuando el Banco intenta, a través de esta falacia con la que tiene entrenados a sus empleados, disuadir el reclamo del usuario bancario estamos ante un abuso de la empresa, ya que controvierte el deber de seguridad que al servicio de seguridad que él mismo provee paradójicamente le cabe.


Por lo cual, bajo ninguna circunstancia puede ser vista esta situación como un hecho de tercero, caso fortuito o fuerza mayor (todos argumentos que intentan articular los bancos para eximirse de responsabilidad). Esto en razón de que la habitualidad con la que ocurre hoy en día -y hace ya mucho tiempo- hace de estos hechos delictivos algo previsible, y sobretodo los hace evitables (si el Banco quisiese molestarse en evitarlos).


En este orden de ideas lo plasma Weingarten en “Nuevos Principios. Contratos y responsabilidad” (Rubinzal-Culzoni Editores. 2020) como así también el fallo de la Corte Suprema de Justicia de la Nación (“Bertinat, Pablo c/Pcia. de Buenos Aires”) donde dijo “La frecuencia de los accidentes es de tal magnitud que evidencia una conducta omisiva del Estado” pues cuando un hecho ocurre reiteradamente, deben preverse las pautas para que no vuelva a ocurrir, es decir, la habitualidad de estos hechos quita el carácter de imprevisibilidad con el que suelen defenderse las empresas para deslindarse de la responsabilidad que en realidad sí les cabe.


Tan es así, que no solamente los empleados de los Bancos lo saben, sino que es fácilmente comprobable por cualquiera. Sin ir más lejos, según un informe de la Unidad Fiscal Especializada en Ciberdelincuencia (UFECi) este tipo de delitos aumentó 3.000% durante el año pasado (2020). Es por ello y por la falta de responsabilidad asumida por los Bancos, que el Banco Central de la Republica Argentina tuvo que tomar cartas en el asunto y emitir las medidas de seguridad que deberán tomar las entidades financieras a la hora de otorgar préstamos pre-acordados a través de canales electrónicos, una de las principales vías de las que se aprovechan los delincuentes que practicar estafas bancarias.


A partir de ahora, los Bancos tendrán que corroborar -ya sea a través de llamado telefónico, reconocimiento facial o cualquier otra técnica de identificación positiva- que efectivamente es el cliente quien está solicitando el préstamo que la entidad le tiene asignado de acuerdo a su categoría crediticia. Además, tendrán que hacer un monitoreo y control, como mínimo, de los puntos de contacto indicados por el usuario y comprobar que no hayan sido modificados recientemente. Todo lo cual, refuerza la obligación que ya tiene la entidad financiera de la responsabilidad de detectar la posibilidad de engaños de ingeniería social.


Recién después de la verificación, la entidad deberá comunicarle -a través de todos los puntos de contacto disponibles- que el crédito se encuentra aprobado y que, de no mediar objeciones, el monto será acreditado en su cuenta a partir de las 48 horas hábiles siguientes. El citado plazo de acreditación podrá ser reducido en el caso de recibirse la conformidad del usuario de servicios financieros de manera fehaciente.


Este control dictaminado por el BCRA deberá ser sobre todas las operaciones de créditos preaprobados realizadas a través de todos los canales electrónicos disponibles: ATMs, TAS, banca de internet (BI) y banca móvil (BM). Este nuevo control se suma a los “Requisitos mínimos de gestión, implementación y control de los riesgos relacionados con tecnología informática, sistemas de información y recursos asociados para las entidades financieras” que deben cumplir en forma obligatoria.


Por último, en este texto del BCRA, se definen prácticas y requerimientos de implementación obligatoria para las entidades financieras relacionados al control de los riesgos de tecnología y seguridad informática. En particular, para la gestión de la seguridad en canales electrónicos, las entidades financieras deben cumplimentar los requisitos mínimos regulatorios en cada uno de los siguientes procesos, entre ellos:

Concientización y Capacitación: Es un proceso relacionado con la adquisición y entrega de conocimiento en prácticas de seguridad, su difusión, entrenamiento y educación, para clientes internos y externos, con el fin de desarrollar tareas preventivas, detectivas y correctivas respecto de los incidentes de seguridad en los canales electrónicos.

• Control de Acceso: Es un proceso relacionado con la evaluación, desarrollo e implementación de medidas de seguridad para la protección de la identidad, mecanismos de autenticación, segregación de roles y funciones y demás características del acceso de los usuarios internos y externos a los canales electrónicos.

• Integridad y Registro: Es un proceso destinado a la utilización de técnicas de control de la integridad y registro de los datos y las transacciones, así como el manejo de información sensible de los canales electrónicos y las técnicas que brinden trazabilidad y permitan su verificación. Incluye, pero no se limita a transacciones, registros de auditoría y esquemas de validación.

• Monitoreo y Control: Es un proceso relacionado con la recolección, análisis y control de eventos ante fallas, indisponibilidad, intrusiones y otras situaciones que afecten los servicios ofrecidos por los canales electrónicos, y que puedan generar un daño eventual sobre la infraestructura y la información.

• Gestión de Incidentes: es un proceso relacionado con el tratamiento de los eventos e incidentes de seguridad en canales electrónicos, su detección, evaluación, contención y respuesta, así como las actividades de escalamiento y corrección del entorno técnico y operativo.


Así las cosas, es como el BCRA -organismo de contralor de las entidades bancarias- tuvo que salir a decir lo obvio a fin de que los distintos bancos articulen las medidas de seguridad que deberían haber esgrimido desde un primer minuto para protegernos a todos y todas.


 
Pachi Tabera.
Abogada - Consejera Titular y Prosecretaria de la Comisión Directiva del Colegio de Abogados de Jujuy - Presidenta Fundadora de OCUJ (Organización de Consumidores y Usuarios de Jujuy - Ex Columnista de la Revista CHE.