:quality(75):max_bytes(102400)/assets.iprofesional.com/assets/jpg/2024/12/589202_landscape.jpg?w=1024&resize=1024,1024&ssl=1 "Telecom Argentina y Banco Supervielle condenados a indemnizar con millones por estafa SIM Swapping: Un fallo que protege a los usuarios financieros")
Cómo fue la maniobra: tres transferencias en 5 minutos
El hecho ocurrió el 25 de junio de 2022, cuando W. M. realizó varias operaciones con su tarjeta de débito: a las 13 efectuó una extracción de $9.500 en un cajero de Avenida San Martín y poco después hizo varias compras.
Sin embargo, a las 19:30, la misma tarjeta fue rechazada en un local de Ramos Mejía. Tras realizar una consulta con el banco descubrió que, en ese ínterin y en solo cinco minutos, se habían ejecutado tres transferencias (dos por $500.000 y una por $77.000) a un destinatario desconocido para él de nombre J. C.S, con cuenta en el Brubank.
El cliente efectuó la denuncia policial contra la entidad bancaria, pero dos días después descubrió que los estafadores habían podido realizar la maniobra a través de su teléfono: Telecom («Personal») había procesado un cambio de titularidad de su línea a favor de un tercero, L.D.A, sin su autorización.
Según surge del fallo, al tomar control del número de teléfono del cliente, los estafadores pudieron recibir los códigos de validación (SMS Token) que el Banco Supervielle utilizaba para autorizar operaciones, logrando así vulnerar el sistema de homebanking y vaciar la cuenta.
La responsabilidad de las empresas: seguridad deficiente
Al analizar los hechos, el magistrado rechazó los intentos de ambas empresas de deslindar responsabilidad.
Telecom Argentina S.A. planteó una «excepción de falta de legitimación pasiva», alegando que ellos solo proveen conectividad y son ajenos a la relación banco-cliente. Sostuvieron que el fraude fue un «hecho de un tercero» por el cual no debían responder.
Por su parte, el Banco Supervielle argumentó que el sistema funcionó «correctamente» porque el ingreso fue con usuario y clave correctos y se validó con el SMS Token enviado al teléfono registrado.
Los abogados de la entidad intentaron culpar al cliente por una supuesta «conducta imprudente» al facilitar sus datos o a la telefónica por permitir el cambio de SIM.
Sin embargo, la empresa de telefonía fue hallada responsable por permitir el cambio de titularidad de la línea y la emisión de un nuevo chip sin verificar adecuadamente la identidad del solicitante. El fallo resalta que esta negligencia fue la «llave» que permitió el fraude.
En tanto, sobre la entidad bancaria el juez determinó que falló en sus deberes de seguridad al no detectar una operatoria manifiestamente inusual: transferencias de montos elevados, sucesivas y realizadas desde una dirección IP radicada en el extranjero.
El juez enfatizó que el banco no adoptó medidas eficaces para bloquear transacciones que se apartaban del perfil habitual del cliente.
El dictamen pericial fue demoledor para las demandadas. Un experto informático que intervino en el expediente confirmó que el «intruso» conocía los mecanismos de validación de la operadora telefónica para autorizar el reemplazo de la tarjeta SIM. Al tener el nuevo chip, el estafador recibió los códigos de autenticación (2FA) y, con la contraseña de acceso, vació la cuenta.
Un detalle técnico crucial que el banco omitió detectar: las transacciones se realizaron desde una dirección IP radicada en la República de Chile. El juez señaló que esta atipicidad (monto elevado, reiteración y origen extranjero) debió haber activado bloqueos preventivos automáticos que el banco no ejecutó.
Devolución del capital más daño moral y punitivo
La sentencia encuadró el caso bajo la Ley de Defensa del Consumidor, aplicando un estándar de responsabilidad objetiva y agravada para ambas firmas.
En ese marco, el juez ordenó:
- La devolución del capital sustraído ($1.077.000) más intereses desde la fecha en que ocurrió el hecho (25/6/22) hasta la de la sentencia, aplicando la Tasa de Interés Moratorio del Banco Central. Esto totaliza $16.259.560
- Pagar una suma por el daño moral -que se fijó en $5.000.000– por «la angustia, incertidumbre e impotencia sufrida por el cliente al verse privado de sus ahorros y vulnerado en su privacidad». El magistrado fundamentó este monto buscando asegurar al damnificado un «momento prolongado de esparcimiento y ocio» (una semana en un hotel de categoría con todo pago) para compensar el mal momento vivido
- Fijar el daño punitivo: el juez calificó la conducta de las demandadas como «lisa y llanamente abusiva» y señaló que existió un traslado injustificado de riesgos y costos al consumidor, obligándolo a litigar por una cuestión que debió resolverse de buena fe. Por ese motivo, dispuso que cada una de las empresas le pague $2.500.000, al destacar que no pueden «desentenderse» de las consecuencias de sistemas de seguridad insuficientes. Esta sanción es personal y no solidaria: cada empresa debe pagar por su cuenta para que el incumplimiento les resulte «antieconómico»
«La imposición de la multa civil busca no solo reparar el daño individual, sino funcionar como un incentivo para que las grandes corporaciones inviertan en mecanismos de prevención reales en lugar de internalizar el costo de los fraudes como un simple riesgo del negocio», remarcó la resolución.
En conclusión, el fallo del juez en este caso de SIM Swapping destaca la importancia de la responsabilidad de las empresas en proteger a sus clientes de este tipo de estafas. La sentencia no solo obliga a las empresas involucradas a indemnizar al cliente por el daño sufrido, sino que también establece una multa punitiva para incentivar una mayor inversión en seguridad por parte de las grandes corporaciones. Es un recordatorio de que la protección de los usuarios financieros es una prioridad que no puede ser pasada por alto.