ENFOQUE . Las estafas bancarias y la trampa de la "culpa del cliente"

Escribe:

Juan Guillermo Lazarte (*)

Especial para El Tiempo

Es común que, ante una estafa virtual, la primera respuesta de las entidades financieras (bancos o billeteras virtuales) sea responsabilizar al usuario por "haber entregado sus claves". Sin embargo, esta postura ignora un principio básico del derecho: el Banco es un depositario profesional que lucra con el manejo del dinero y, como tal, debe asumir los riesgos de su propio negocio.

1. El consentimiento del usuario.

Para que una operación o contrato sea válido, tiene que haber voluntad, tiene que ser un acto voluntario. Si un atacante consiguió tus credenciales (usuario y contraseña) y realizó una transacción, no hay voluntad de tu parte, por lo que no debe ser validada. Estos ataques son parte del riesgo del negocio, y ese riesgo tiene que ser asumido por el profesional, no por el consumidor que es el eslabón más débil de la cadena.

2. Los Vectores de Ataque: ¿Cómo operan los delincuentes?

La prevención empieza por entender que el ataque no es un virus mágico, sino un proceso de manipulación técnica y psicológica:

-Ingeniería social (el primer paso): los atacantes utilizan información que nosotros mismos compartimos en redes sociales, como comentarios en perfiles oficiales de los bancos. Con estos datos generan un ambiente de confianza inducida. Pueden usar publicidades falsas en Instagram o Facebook -que parecen oficiales-, o contactarte por WhatsApp o teléfono, utilizando el logo y la música de espera real del banco. El objetivo es "filtrar" a las personas más vulnerables para obtener sus primeros datos de acceso.

-Control remoto (Toma de control): una vez que ganan tu confianza, te piden instalar aplicaciones como AnyDesk o TeamViewer bajo el pretexto de "ayuda técnica". Estas aplicaciones no son virus, pero permiten que el delincuente vea y maneje tu celular desde su computadora. Aquí falla el banco: las aplicaciones bancarias podrían detectar que hay un software de control remoto funcionando y bloquearse automáticamente, pero muchas no lo hacen por ahorrar en desarrollo de software.

-Suplantación con IA (Deepfakes): hoy es posible elegir una foto de una red social y usar algunas de las tantas inteligencias artificiales generativas para que la animen, haciendo que la persona parpadee o sonría frente a la cámara, engañando de este modo al reconocimiento facial básico. Existen técnicas para "inyectar" este video directamente en la aplicación del banco sin necesidad de mostrarlo frente a la lente.

Otra acción que puede tomar el banco es analizar con inteligencia artificial cómo usamos su aplicación, cuanto tardamos en cada paso, en que horario solemos realizar determinadas acciones. Si la conducta no encuadra con lo habitual (por ejemplo, transferencia del total del dinero a una cuenta, solicitud de un crédito y transferencia del mismo), puede pedir medidas adicionales de seguridad, o poner un período de espera (Cooldown Period).

3. La Firma Electrónica: una ficción de consentimiento.

El banco suele argumentar que detectó el ingreso correcto del usuario y la contraseña. Esto es una ficción legal. Si un delincuente usa tus claves mediante un engaño o manejando tu teléfono a la distancia, no hay voluntad del cliente. Sin voluntad real, no hay operación válida. El ingreso de una clave es una simple identificación técnica, no una prueba de que vos quisiste entregar tus ahorros. Existe en el derecho la culpa del cliente, pero pesa sobre el banco probar que él actuó con la debida diligencia y deber de seguridad para cuidar tu depósito,

4. La Estrategia del Desgaste y la "Compra del Silencio".

¿Por qué el Banco no soluciona esto si la tecnología existe? Por una ecuación económica:

1. Desgaste: ante el reclamo, el banco niega su responsabilidad sistemáticamente, apostando a que el cliente se canse y abandone. Incluso si se reclama en Defensa del Consumidor, que trabajan muy bien y con muy buena voluntad, aunque con poco personal, el banco se mantiene en su postura de responsabilizar al usuario.

2. Acuerdos de último momento: sólo cuando el usuario llega a una demanda judicial avanzada, el banco ofrece un acuerdo económico para devolver el dinero. En el proceso judicial se presenta un convenio que pone fin al litigio y en el que específicamente se dice "que no se reconocen hechos ni derecho".

3. El beneficio: al pactar antes de que el juez dicte sentencia, el banco evita que el caso se haga público y, sobre todo, evita que se lo obligue a arreglar las fallas de seguridad de su aplicación para todos los usuarios. Es más barato indemnizar a los pocos que reclaman que proteger a los miles que no lo hacen.

Conclusión

Si fuiste víctima de un fraude, no aceptes la respuesta automática de "negligencia del cliente". El sistema financiero es un entorno diseñado por el banco para obtener un beneficio, y es su responsabilidad técnica asegurar que ese entorno sea razonablemente seguro con los estándares de la época.

Si existe una medida de seguridad que puede implementar para proteger el sistema, debe hacerlo. La seguridad no es un favor que le hace el banco a los usuarios, es un derecho y un deber incluido en el servicio por el cual estamos pagando.

(*) Juez del Juzgado Civil y Comercial N° 4 de Azul.