Un banco deberá pagar una indemnización en Neuquén por no detectar una estafa: ¿qué es SIM swapping?

La Cámara Civil de Apelaciones de la 1° Circunscripción Judicial de Neuquén resolvió que una entidad bancaria deberá indemnizar a un cliente afectado por un fraude electrónico conocido como «SIM swapping», tras la realización de 16 transferencias no autorizadas desde su cuenta corriente.

Un teléfono fue el desencadenante de una estafa en Neuquén. ¿El saldo? 16 transferencias consecutivas y no autorizadas, realizadas entre el 18 y 19 de marzo de 2022, lo dejaron con un agujero económico de más de 2,9 millones de pesos.

Lo que no sabía es que había sido víctima de una modalidad delictiva que gana terreno en la región: el SIM swapping, una técnica por la cual los delincuentes duplican la tarjeta SIM del celular de la víctima, acceden a su información bancaria y ejecutan operaciones sin que nadie lo detecte a tiempo.

---

Qué resolvió la Cámara Civil de Apelaciones

---

La Cámara Civil de Apelaciones de la I Circunscripción Judicial falló a favor del cliente. En una sentencia, el tribunal ratificó que la entidad bancaria demandada deberá resarcir al comerciante con la suma de $1.871.705,93, más lo que se determine en concepto de daño emergente, e intereses.

La Justicia consideró que el banco no cumplió con sus deberes esenciales de control y seguridad. Aunque la responsabilidad del fraude fue compartida con la empresa de telefonía —Movistar— y con el propio cliente, el tribunal adjudicó el 60% de la responsabilidad al banco.

«Si bien no se logró determinar con certeza cómo fue vulnerada la línea telefónica, lo que podría implicar un descuido del actor o responsabilidad de las empresas de telefonía, el banco incumplió deberes esenciales de control y seguridad», señalaron los jueces en la sentencia.

---

Cómo fue la maniobra delictiva

---

La maniobra delictiva consistió en duplicar la línea telefónica del cliente, lo que permitió a terceros acceder a su banca electrónica mediante claves de seguridad enviadas por SMS. El número telefónico estaba validado ante el banco, lo que debería haber disparado alertas cuando se comenzaron a ejecutar operaciones inusuales desde un dispositivo distinto al habitual.

“El cliente no fue notificado sobre el blanqueo de la clave móvil ni sobre el aumento del límite de transferencias”, señalaron los magistrados. Las operaciones realizadas superaron ampliamente el tope diario permitido de $100.000 y fueron destinadas a cuentas no asociadas previamente a la cuenta del cliente.

Es decir que, el SIM swapping es una amenaza digital que secuestra la identidad dela línea telefónica. Esta peligrosa técnica de fraude cibernético preocupa. Los delincuentes, valiéndose de información personal obtenida de diversas fuentes, engañan a las compañías telefónicas para transferir el número de teléfono de la víctima a una tarjeta SIM bajo su control.

Suelen usar argumentos convincentes, como la pérdida o el daño del chip original, solicitan la activación del número en una nueva SIM, la cual poseen. Este movimiento, aparentemente inofensivo, les abre la puerta a un acceso sin precedentes a la vida digital de la víctima.

El control del número de teléfono se convierte en la llave maestra. Al tener en sus manos la línea telefónica, los delincuentes pueden interceptar mensajes SMS y llamadas, incluyendo los códigos de verificación de doble factor (2FA) que protegen numerosas cuentas en línea. Bancos, redes sociales, correos electrónicos y otras plataformas se vuelven vulnerables. Con esta barrera de seguridad superada, los estafadores pueden realizar transferencias bancarias fraudulentas, robar información personal valiosa y causar un perjuicio económico y reputacional significativo.

---

Qué dijo el banco

---

La entidad financiera presentó un recurso de apelación, intentando desligarse del hecho. Alegó que el daño “se originó en la intervención de la empresa de telefonía celular, que suministró a terceros una SIM Card de la línea perteneciente al actor, permitiéndoles recibir nuevas claves bancarias”.

Además, la defensa cuestionó la actuación del cliente, afirmando que “no acreditó que no guardase sus claves en su perfil de algún sitio web, lo que importa el quebrantamiento del nexo causal”, y sostuvo que “el conocimiento de las claves de validación por parte de terceros obedeció a su conducta displicente”.

La apelación también criticó a la jueza de grado por considerar que el banco no se había adecuado a su contrato con el cliente: “El obrar del banco no se conectó con las consecuencias dañosas sufridas por el actor”, insistieron.

---

Argumentos del tribunal

---

La Cámara, sin embargo, no se dejó convencer. Aunque reconoció que existió responsabilidad compartida, le otorgó mayor peso al incumplimiento del banco en su deber profesional y contractual de prevenir maniobras fraudulentas.

La sentencia resaltó que “la conducta de la entidad financiera fue considerada negligente, ya que las operaciones se realizaron de forma atípica para el perfil de la cuenta, en un horario y circunstancias inusuales”.

Sobre la falta de alertas por parte del banco, se subrayó que “el número telefónico original estaba verificado por el banco, por lo que éste debió advertir que las transferencias provenían de un dispositivo no reconocido”.

---

Qué se discutió en la apelación

---

Entre otros argumentos, el banco sostuvo que “las modificaciones de los límites fueron tramitadas en forma corriente”, que “las operaciones no fueron ni extrañas ni sospechosas” y que “no hubo incumplimiento de las normativas emanadas del Banco Central”, ya que las recomendaciones sobre seguridad no eran obligatorias sino “provisorias”.

También insistió en que “la responsabilidad atribuida lo ha sido por descarte”, dado que “no se demostró cómo fallaron los sistemas de seguridad del banco”. En ese sentido, resaltó que “el desistimiento de la prueba pericial en informática conspiró contra la acreditación de las fallas invocadas”.

---

La resolución final

---

Tras analizar todos los planteos, la Cámara decidió “hacer lugar parcialmente al recurso de apelación de la parte demandada” y “modificar parcialmente el resolutorio recurrido”, atribuyéndole al banco el 60% de responsabilidad por la producción de los daños sufridos por el actor.

Se fijó la condena en $1.871.705,93, más el porcentaje correspondiente sobre el daño emergente a determinar en la etapa de ejecución de sentencia. Las costas fueron distribuidas también en un 60% para el banco y 40% para el actor.

“Las transferencias se realizaron a cuentas de terceros no asociadas, y por importes que superaron el límite máximo diario autorizado por el banco accionado”, detalló el fallo. Pese a que hubo un pedido de aumento de límite, el contexto y la seguidilla de movimientos eran suficientes para haber encendido una alerta de operación sospechosa, consideró la Justicia.