• 13/5/2026
ALERTA

Condenan a un banco por una estafa de phishing y deberá reintegrar lo sustraído y pagar una indemnización

La entidad financiera negó responsabilidad y sostuvo que el propio cliente había actuado con negligencia al entregar datos fuera de los canales oficiales
iProfesional | Legales | Claves
Por S.A.
13/05/2026 - 10:37hs
Condenan a un banco por una estafa de phishing y deberá reintegrar lo sustraído y pagar una indemnización

Un juzgado civil de Tandil condenó a una entidad financiera a reintegrar el dinero sustraído de la cuenta de un cliente víctima de una maniobra de phishing y, además, a pagarle una indemnización por daño moral y daño punitivo. El fallo consideró que el banco incumplió su deber de seguridad al no detectar operaciones inusuales ni activar alertas frente a transferencias sospechosas realizadas desde la banca digital.

La sentencia, dictada por el Juzgado en lo Civil y Comercial N.º 2 de Tandil, se suma a una serie de precedentes recientes en los que distintos tribunales responsabilizaron a entidades financieras por fraudes electrónicos cometidos mediante engaños digitales, aun cuando los usuarios hubieran entregado datos personales o claves de acceso.

Cómo ocurrió la maniobra

El caso tuvo origen el 14 de marzo de 2023. Según surge del expediente, el cliente intentó realizar una compra con tarjeta de débito, pero la operación fue rechazada porque el plástico estaba vencido. Luego de buscar un número de atención al cliente en internet, se comunicó con una línea telefónica que aparentaba pertenecer a la empresa emisora de la tarjeta.

Durante la conversación, los estafadores le solicitaron datos personales y bancarios con el argumento de solucionar el inconveniente. El usuario terminó proporcionando credenciales de acceso y códigos token de validación.

Con esa información, los delincuentes ingresaron al home banking y realizaron cinco transferencias por un total de $574.000 hacia cuentas desconocidas.

Minutos después, el cliente advirtió los movimientos irregulares al intentar ingresar nuevamente a la aplicación bancaria. Tras denunciar la situación, la entidad bloqueó la cuenta.

El usuario realizó una denuncia penal y también acudió a la Oficina Municipal de Información al Consumidor, aunque no obtuvo una solución. Finalmente inició una demanda civil contra el banco.

La defensa del banco

La entidad financiera negó responsabilidad y sostuvo que el propio cliente había actuado con negligencia al entregar datos sensibles fuera de los canales oficiales.

Además, argumentó que cumplía con las medidas de seguridad exigidas por el Banco Central y que realizaba campañas de prevención para advertir a los usuarios sobre los riesgos de compartir claves y códigos de autenticación.

Sin embargo, el tribunal entendió que esos argumentos no alcanzaban para eximir de responsabilidad al banco.

El deber de seguridad en las operaciones digitales

El juzgado consideró que la relación entre el cliente y la entidad financiera constituye una relación de consumo, por lo que resulta aplicable la Ley de Defensa del Consumidor y el deber de seguridad previsto en el artículo 42 de la Constitución Nacional.

En ese marco, el fallo sostuvo que los bancos tienen una obligación objetiva y reforzada de protección respecto de los fondos depositados y de las operaciones realizadas mediante canales electrónicos.

La pericia informática incorporada al expediente confirmó que las transferencias fueron efectuadas utilizando los datos proporcionados por el usuario y validadas mediante doble factor de autenticación. No obstante, también señaló que las operaciones presentaban características inusuales.

Entre otros puntos, se destacó que:

  • Las transferencias se realizaron a destinatarios no habituales
  • Fueron efectuadas desde una dirección IP remota
  • Se trató de movimientos atípicos para el perfil del cliente
  • El sistema bancario no activó alertas automáticas ni bloqueos preventivos

Para el juez, la ausencia de mecanismos capaces de detectar ese comportamiento anormal configuró un incumplimiento del deber de seguridad.

La sentencia remarcó que el avance de las estafas digitales obliga a las entidades financieras a implementar herramientas más sofisticadas de prevención, incluyendo validaciones contextuales, monitoreo de operaciones sospechosas y sistemas biométricos.

La responsabilidad del banco aun cuando el cliente entregó datos

Uno de los aspectos centrales del fallo fue la diferenciación entre la conducta del usuario y la responsabilidad de la entidad financiera.

El tribunal reconoció que el cliente proporcionó información sensible a los estafadores, pero consideró que esa circunstancia no resultó suficiente para romper el nexo de responsabilidad del banco.

Según la sentencia, la entrega de datos fue una condición que permitió la maniobra, pero no la causa determinante del daño. El juez entendió que el perjuicio pudo concretarse porque el sistema de seguridad de la entidad no detectó operaciones claramente anómalas.

En esa línea, el fallo sostuvo que el riesgo derivado de la operatoria digital forma parte de la actividad bancaria y no puede ser trasladado íntegramente al consumidor.

Qué indemnización ordenó la Justicia

La condena incluyó:

  • La restitución de los fondos transferidos
  • Una suma por daño moral
  • Una multa civil en concepto de daño punitivo

El monto total superó los $4 millones, más intereses.

El juez consideró acreditada la afectación emocional sufrida por el cliente, quien manifestó angustia, pérdida de confianza y dificultades personales derivadas del episodio. También valoró que el dinero sustraído estaba destinado a gastos vinculados con salud y planificación familiar.

Respecto del daño punitivo, previsto en la Ley de Defensa del Consumidor, la sentencia indicó que su finalidad es sancionar incumplimientos graves e incentivar mejores prácticas de seguridad por parte de las empresas.

Los precedentes que refuerzan este criterio

El fallo de Tandil no es aislado. Durante los últimos meses, distintos tribunales del país adoptaron criterios similares frente a estafas virtuales cometidas mediante phishing, ingeniería social y accesos indebidos a cuentas bancarias.

Uno de esos antecedentes fue resuelto por la Cámara Comercial de la Ciudad de Buenos Aires en un caso donde una jubilada sufrió el vaciamiento de su cuenta bancaria en apenas 22 minutos.

En esa causa, los delincuentes realizaron seis transferencias consecutivas por más de $2,4 millones hacia destinatarios desconocidos.

La Cámara confirmó la condena contra la entidad financiera y destacó que las operaciones debieron haber sido consideradas sospechosas por su velocidad, cantidad y características.

Los jueces entendieron que el banco incumplió su deber de seguridad al no activar mecanismos de alerta ni verificar adecuadamente la identidad de quien operaba la cuenta.

El tribunal también rechazó el argumento de la entidad que pretendía trasladar a la clienta la carga de demostrar que nunca había compartido sus claves. Según la resolución, exigir esa prueba implicaría imponer una obligación prácticamente imposible de cumplir para el consumidor.

Además, la Cámara tuvo especialmente en cuenta la situación de vulnerabilidad de la víctima por tratarse de una persona jubilada.

La sentencia ordenó devolver los fondos sustraídos y fijó una indemnización de $2,5 millones por daño moral.

El caso de Mar del Plata: condena superior a $26 millones

Otro antecedente reciente fue dictado por el Juzgado Civil y Comercial N.º 4 de Mar del Plata, que condenó a una entidad bancaria pública a pagar más de $26 millones a una clienta víctima de phishing.

La maniobra comenzó mediante un correo electrónico falso que simulaba provenir del banco y advertía sobre un supuesto bloqueo de la cuenta de home banking.

La mujer ingresó sus datos y posteriormente descubrió transferencias no autorizadas por más de $3,7 millones.

Durante el proceso, una pericia informática determinó que las operaciones habían sido realizadas desde direcciones IP extranjeras y en horarios inusuales, sin que el sistema de seguridad activara alertas ni bloqueos preventivos.

El fallo sostuvo que el riesgo tecnológico derivado de la banca digital es inherente a la actividad financiera y debe permanecer bajo control de quien administra el sistema.

También remarcó que las advertencias generales publicadas por los bancos no son suficientes para cumplir el deber de información y prevención, especialmente frente a maniobras sofisticadas de ingeniería social.

El juez cuestionó además la conducta posterior de la entidad, que rechazó el reclamo de la clienta sin acreditar una investigación técnica exhaustiva ni medidas concretas para recuperar los fondos.

Un criterio judicial cada vez más consolidado

Los distintos precedentes muestran una tendencia creciente en la jurisprudencia argentina: considerar que las entidades financieras tienen una obligación reforzada de protección frente a fraudes digitales.

Aunque los tribunales reconocen que muchas maniobras se concretan mediante engaños a los usuarios, también entienden que los bancos deben contar con sistemas capaces de detectar patrones anormales, validar operaciones sospechosas y minimizar los riesgos derivados de la operatoria electrónica.

En ese contexto, las sentencias vienen destacando que la confianza y la seguridad en el sistema financiero constituyen elementos esenciales del servicio bancario moderno y que los riesgos tecnológicos no pueden ser trasladados exclusivamente a los clientes.DESCARGAR HTML

Temas relacionados
estafa bancaria