RESOLUCIÓN N.

º
SANTA FE,
Provincia de Santa Fe
Defensoría del Pueblo

VISTO:
El expediente ROS - 00005616 - 2022 del registro de esta Defensoría
del Pueblo de la provincia de Santa Fe, y;

CONSIDERANDO:

Que, en el último año se han multiplicado las consultas y reclamos de

ciudadanos/as quienes manifiestan haber sido víctimas de delitos de estafas consistente en que
una vez obtenidos fraudulentamente los datos necesarios para acceder a cuentas bancarias
mediante canales electrónicos se procede a realizar alguna o varias operaciones en forma
conjunta y simultánea en un lapso de tiempo exiguo: transferencias de fondos;
adelantamientos de haberes, venta de moneda extranjera y toma de préstamos en todos los
casos seguido de la disposición de los pesos obtenidos mediante transferencias y
triangulaciones bancarias a cuentas a nombres de terceros;

Que, recibidas las denuncias y consultas, el abordaje de la Defensoría

cuenta con una intervención ante el caso particular consiste por un lado en el asesoramiento y
acompañamiento de la víctima en la presentación de su denuncia ante el Ministerio Público
Fiscal y luego en la gestión del reclamo ante la entidad financiera mediante la cual operaba el
usuario;

Que, en cuanto a los aspectos en general, la intervención se canalizó

ante el Banco Central de la República Argentina requiriéndose informes y medidas a adoptar
tendientes a evitar y/o subsanar los perjuicios económicos padecidos por usuarios/as del
sistema;

Que, como resultado de ello, en fecha 18/1/2021 se recibió respuesta del

Banco Central donde se informó que el BCRA ha emitido varias regulaciones que incluyen
temas de tecnología y seguridad informática que actualmente se encuentran bajo el “TEXTO
ORDENADO DE LAS NORMAS SOBRE “REQUISITOS MÍNIMOS DE GESTIÓN,
 Provincia de Santa Fe
Defensoría del Pueblo

IMPLEMENTACIÓN, Y CONTROL DE LOS RIESGOS RELACIONADOS CON

TECNOLOGÍA INFORMÁTICA, SISTEMAS DE INFORMACIÓN Y RECURSOS
ASOCIADOS PARA LAS ENTIDADES FINANCIERAS” , cuya última circular incorporada
Comunicación “A” 6832-al texto ordenado fue el 15/11/20191;

Que, en la citada respuesta la Gerencia Principal de Protección al

Usuario de Servicios Financieros del Banco Central de la República Argentina agrega: “...En
relación con las estafas sufridas por usuarios financieros que proporcionan información a
delincuentes y así se apoderan de la cuenta y la clave token...de manera resumida,
explicamos a continuación cómo los regulados pueden satisfacer los requisitos técnicos
operativos de los procesos, acorde a las características del escenario o situación que estén
evaluando y los resultados de sus análisis de riesgo. Los regulados pueden: Mantener
informado y entrenado a clientes, a responsables de la gestión de los canales electrónicos,
proveedores y personal interno, mediante un programa de concientización y capacitación con
un contenido apropiado al escenario o situación (corresponde al proceso de concientización
y capacitación). Requerir la confirmación o revalidar la instrucción del cliente mediante un
segundo factor, por ej. un token dinámico, secretos compartidos (para estos casos en los
cajeros automáticos suelen usar un PIL o clave alfanúmerica) y además, si no se cumple con
los patrones de comportamiento establecidos por la entidad, verificar la identidad del cliente
mediante técnicas de identificación positiva (corresponde al proceso de control de acceso).
Contar con registros que permitan determinar la trazabilidad de las actividades efectuadas
por el cliente (corresponde al proceso de integridad y registro) Contar con mecanismos de
monitoreo transaccional que puedan advertir situaciones sospechosas basados en
características del perfil y patrón transaccional del cliente bancario (corresponde al proceso
de monitoreo y control). Contar con las capacidades para tratar los incidentes detectados
con un esquema de escalamiento definido formalmente (corresponde al proceso de gestión de
incidentes)”;

1
http://www.bcra.gob.ar/Pdfs/Texord/t-rmsist.pdf
 Provincia de Santa Fe
Defensoría del Pueblo

Que, en la gran mayoría de denuncias por estafas que se han recibido,

solicitada la intervención de la entidad financiera el patrón de respuesta es el mismo y
consiste en deslindar su responsabilidad en virtud que los datos de accesos fueron brindados
voluntariamente por el titular siendo los mismos de carácter personal y confidencial según lo
establecido en las condiciones generales de uso de las tarjetas de débitos;

Que, asimismo, ninguno de los denunciantes desconocen o niegan haber

proporcionado algún dato que facilitó el ingreso a sus cuentas mediante canales electrónicos,
sino que precisamente lo hicieron engañados por alguna maniobra fraudulenta que vició su
voluntad, y sucedido ello, el reclamo se centra en la pasividad del sistema financiero para
evitar y/o frenar las consecuencias dañosas del delito;

Que, ante este escenario se impone analizar si efectivamente la

responsabilidad de la entidad financiera queda eximida por la información proporcionada por
el usuario, ya que es responsable del sistema y de su imagen de gestión institucional por
canales de accesibilidad libre;

Que, para ello corresponde en una primer instancia estudiar el marco

regulatorio vigente -ver nota al pie 1°- y si ante el hecho denunciado la entidad financiera
encuadró su accionar al mismo;

Que, en virtud que en todos los hechos denunciados el perjuicio se

termina materializando mediante transacciones consistente en transferencias de fondos
mediante canales electrónicos, corresponde poner la mirada en la regulación concreta de esa
actividad financiera;

Que, en ese sentido y según normativa regulatoria del BCRA, a las

Transferencias Inmediatas y ordinarias por canales electrónicos (ATM, BM y BI) el Banco
Central les asigna un nivel de criticidad 1. La criticidad es un ponderador que establece el
nivel de importancia relativo de un escenario y sus necesidades regulatorias. El valor 1
implica que existe una Alta exposición al riesgo cuya falta o deficiencia de tratamiento afecta
 Provincia de Santa Fe
Defensoría del Pueblo

de forma extendida la disponibilidad de los servicios y la confiabilidad de el/los canales

electrónicos (CE), la entidad financiera y el sistema financiero en general;

Que, en este escenario y con esa ponderación de criticidad las entidades

financieras deben satisfacer los siguientes requisitos técnicos operativos con carácter
Obligatorio (se señalan los más relevantes a nuestro entender):
• Las entidades deben disponer de mecanismos de monitoreo transaccional en sus CE,
que operen basados en características del perfil y patrón transaccional del cliente
bancario, de forma que advierta y actúe oportunamente ante situaciones sospechosas
en al menos uno de los siguientes modelos de acción:
a. Preventivo. Detectando y disparando acciones de comunicación con el cliente por
otras vías antes de confirmar operaciones. (En este punto también es importante el
permanente monitoreo de la creación y difusión de páginas falsas que emulan a la de
la entidad)
b. Reactivo. Detectando y disparando acciones de comunicación con el cliente en
forma posterior a la confirmación de operaciones sospechosas.
c. Asumido. Detectando y asumiendo la devolución de las sumas involucradas ante los
reclamos del cliente por desconocimiento de transacciones efectuadas.
• Las entidades deben implementar mecanismos de comunicación alternativa con sus
clientes con objeto de asegurar vías de verificación variada ante la presencia de
alarmas o alertas ocurridas por efecto del monitoreo transaccional implementado.
• La entidad/operador debe ejecutar las siguientes acciones para la protección de las
transacciones involucradas en el escenario: Posterior a la confirmación de la
transacción y sólo cuando se superen patrones predeterminados en sus sistemas de
monitoreo transaccional, debe aplicar al menos una de las siguiente técnicas:
a. Cuestionarios predefinidos con presentación aleatoria, con validación automática
del sistema.
b. Presentación de documentos de identidad emitidos por autoridad nacional que
permitan la comparación y convalidación efectiva de las características del portador.
c. Firmas holográficas comparables con registro electrónico.
 Provincia de Santa Fe
Defensoría del Pueblo

d. Identificación ante canal electrónico alternativo con doble factor de autenticación.

• El monitoreo transaccional en los CE debe basarse, pero no limitarse a lo siguiente:

a. La clasificación de ordenantes y receptores en base a características de su cuenta y
transacciones habituales, incluyendo pero no limitándose a frecuencia de transacciones
por tipo, monto de transacciones y saldos habituales de cuentas.
b. Determinación de umbrales, patrones y alertas dinámicas en base al
comportamiento transaccional de ordenantes y receptores según su clasificación.
• La entidad financiera debe proveer vías de comunicación para la recepción de consul-
tas/denuncias de los clientes las 24 horas.

Que, no se puede soslayar que el vínculo entre las entidades financieras

y usuarias/os financieras/os se encuentra enmarcado dentro de las relaciones de consumo y la
relación de consumo se caracteriza por ser 'asimétrica', es decir, una de las partes se encuentra
en una posición claramente más débil que su cocontrarante;

Que, por ello, rigen las garantías consagradas en la Constitución

Nacional para consumidoras/es y usuarias/os de bienes y servicios quienes tienen derecho a:
protección de su salud, seguridad e intereses económicos; a una información adecuada y
veraz; a la libertad de elección, y a condiciones de trato equitativo y digno; a la educación
para el consumo, a la defensa de la competencia contra toda forma de distorsión de los
mercados, al control de los monopolios naturales y legales, al de la calidad y eficiencia de los
servicios públicos, y a la constitución de asociaciones de consumidores y de usuarios 2;

Que, cada vez son más los fallos haciendo lugar a medidas cautelares e
incluso sobre el fondo del asunto donde se establece la responsabilidad del banco ante los
delitos de estafas electrónicas: “...la contratación electrónica, con todos sus beneficios,
conlleva también riesgos que, en principio, deben recaer sobre el banco, que no solo es el
creador del sistema, sino también quien lo administra en términos que deben garantizar a los

2
Artículo 42° Constitución Nacional.
 Provincia de Santa Fe
Defensoría del Pueblo

usuarios la seguridad de las transacciones que se efectivizan en tal marco...” 3. Respecto al

suministro de las credenciales de acceso por parte del cliente la justicia expresó: "...tampoco,
incide la eventual negligencia o inexperiencia de la actora frente al suministro voluntario de
datos, ya que la concurrencia eventual de responsabilidades no puede liberar al banco de los
deberes generales de seguridad por él debidos"4

Que, a título meramente ejemplificativo hacemos descripción de un

caso tipo de estafa que se dio frecuentemente el año pasado: una vez obtenida mediante un
ardid las credenciales de acceso (actualmente predomina el mecanismo de la emulación del
sitio web de la entidad y su difusión en buscadores de internet) el delincuente en un corto
lapso de tiempo accede por medio de algún canal electrónico, cambia el teléfono de contacto
que sirve como segundo factor, realiza transferencia de los fondos de las cuentas en pesos,
toma préstamo y transfiere el monto acreditado, vende el dinero en moneda extranjera y luego
transfiere los pesos acreditados por dicha venta, las transferencia son a una cuenta existente en
otra entidad bancaria y a nombre de una persona determinada, denunciado el hecho e incluso
proporcionado el dato de la/s cuenta/s destinataria/s desde el banco emisor responden que no
se puede hacer nada para congelar aquellos fondos si no existe una orden judicial;

Que, de lo expuesto surgiría que no hubo monitoreo transaccional que

active comunicación con el cliente, por otras vías, antes de confirmar operaciones que no se
condicen con el patrón comportamiento transaccional de ordenantes. Este requirimento no
parece ser ajeno ni de difícil implementación para entidades financieras, ya que, por ejemplo,
es habitual que ante un consumo con tarjeta de crédito atípico por su monto o localización
muchas veces requiere de un mecanismo previo a la autorización de corroboración de
identidad del titular;

3
Koslowicz, Alejandra Verónica y otro c/ Banco BBVA Argentina S.A. y otro s/ sumarísimo s/ inc. Art.
250 SENTENCIA 16 de Julio de 2021. CAMARA NACIONAL DE APELACIONES EN LO
COMERCIAL. CAPITAL FEDERAL, CIUDAD AUTÓNOMA DE BUENOS AIRES. Magistrados:
Eduardo R. Machín - Julia Villanueva. Id SAIJ: FA21130546
4
Poder Judicial de la Ciudad de Buenos Aires, Secretaría N° 2 de la Oficina de Gestión Judicial en las
Relaciones de Consumo- Juzgado N° 22, "C., R. L. c/ Banco Macro Sociedad Anónima s/ relación de
consumo", 12 de julio de 2021.
 Provincia de Santa Fe
Defensoría del Pueblo

Que, como vemos, no obstante la entrega de las credenciales por parte

del usuario al tratarse de transacciones con un nivel de criticidad máximo, la entidad debe
observar con carácter obligatorio las reglas mencionadas. La dinámica de la mayoría de los
hechos denunciados indicarían una inobservancia total o parcial de esas exigencias;

Que, asimismo, y por regulaciones recientes del BCRA se está

admitiendo las fallas en la seguridad de los canales electrónicos al emitir normativas
complementarias a las existentes, esto es consecuente con lo informado por esa Institución a
la Defensoría en ocasión de los planteos realizados: “...se encuentra permanentemente
abocado al análisis de las cuestiones que afectan la seguridad e integridad de los derechos de
los usuarios de servicios financieros y el consiguiente estudio de las medidas que puedan
resultar conducentes para la prevención y, en su caso, mitigación de los efectos de eventos
como los que nos ocupa” ;

Que, cabe mencionar las nuevas disposiciones para las operaciones

DEBIN donde se obligó a las entidades financieras informar expresamente con la siguiente
leyenda: “Al aceptar esta transacción SE EXTRAERÁN FONDOS DE SU CUENTA por el
monto indicado, los que serán remitidos a quien mandó la orden de extracción. Tenga en
cuenta que NUNCA es necesario dar una autorización para RECIBIR pagos electrónicos” 5;

Que, asimismo, el año pasado el BCRA aumentó las obligaciones de los

bancos para el otorgamiento de préstamos pre aprobados por canales electrónicos. La propia
entidad publicó: “Las entidades financieras tendrán que verificar fehacientemente la
identidad de las personas que solicitan la acreditación de créditos preaprobados a través de
los canales electrónicos... Además, tendrán que hacer un monitoreo y control, como mínimo,
de los puntos de contacto indicados por el usuario y comprobar que no hayan sido
modificados recientemente” 6;

5
https://www.defensoriasantafe.gob.ar/articulos/en-consonancia-con-lo-pedido-por-la-defensoria-el-banco-
central-informo-nuevas-medidas
6
 Provincia de Santa Fe
Defensoría del Pueblo

Que, recientemente, se recibieron denuncias que dan cuenta de otro tipo

de modalidad delictiva y que también tuvo como víctimas a usuarios/as del Nuevo Banco de
Santa Fe. La maniobra fraudulenta consiste en que la persona ingresa al buscador -por ej.
google- desde su dispositivo y pone en la búsqueda "nuevo banco de santa fe", los relatos
coinciden en afirmar que aparecen como primera o segunda opción páginas falsas que
emulan ser la página oficial. Engañados, las personas ingresan su usuario y contraseña -en
muchos casos les solicitan renovar usuario y contraseña- y luego desde la página apócrifa se
les pide el código de seguridad de la tarjeta de débito e inmediatamente les llega un mensaje
indicando que recibirán un segundo factor al teléfono, al poner ese código se efectúa la
transferencia y se consuma el delito. En estos casos en particular no se podría menospreciar la
responsabilidad bancaria en virtud que debería controlar permanentemente el uso de su
imagen institucional y denunciar la publicidad de sitios falsos y apócrifos que emulan al
propio;

Que, se entiende que desde la Defensoría del Pueblo se debe prestar

especial atención a las denuncias recibidas de parte de clientes del Banco Santa Fe en virtud
que por el Decreto Nº 3546/2019 presta el servicio de agente financiero y Caja Obligada de
Estado Provincial por un período de cinco años, es decir, las/os empleadas/os activas/os y
pasivas/os que perciben sus haberes son usuarias/os cautivas/os de esta entidad 7, no pueden
elegir el banco de cobro y por ende, como contrapartida de esa situación, es valedero
aumentar las exigencias de seguridad y mayor eficiencia en la aplicación de modelos de
acción preventivo, reactivo y asumido de acuerdo a reglamentación del BCRA que refirida
precedentemente;

Que, la competencia de la Defensoría de Pueblo de la Provincia de

Santa Fe en el presente caso deriva de la propia Ley 10396 y en la Resolución Nº 102 por
medio de la cual se adhirió al Protocolo Marco para la Actuación de Defensorías del Pueblo

http://www.bcra.gov.ar/noticias/responsabilidad-bancos-creditos-canales-electronicos.asp
7
Santa Fe no adhirió a la Ley Nacional N.º 26.704.
 Provincia de Santa Fe
Defensoría del Pueblo

en Empresas y DDHH, elaborado conjuntamente por las Defensorías del país y la Defensoría
del Pueblo de la Nación, en alianza con la Oficina del Alto Comisionado de las Naciones
Unidas para los Derechos Humanos (ACNUDH) en el marco del Proyecto CERALC, a los
fines de contribuir al cumplimiento y desarrollo de los 31 Principios Rectores de Naciones
Unidas sobre Empresas y Derechos Humanos, aprobados por el Consejo de Derechos
Humanos de Naciones Unidas; todo ello, en cumplimiento de los objetivos establecidos para
las instituciones de Derechos Humanos en el marco de la Agenda 2030 para el Desarrollo
Sostenible;

Que, la presente gestión se encuadra en lo dispuesto mediante

Resolución Nº 201 de fecha 29 de julio de 2021 (D.P.), que determina la firma conjunta de los
Defensores del Pueblo Adjuntos para la Zona Norte y Sur, de las resoluciones que conforme
al marco normativo emita la Defensoría del Pueblo de la provincia de Santa Fe;

POR ELLO:

LOS DEFENSORES ADJUNTOS A/C

DE LA DEFENSORIA DEL PUEBLO
R E S U E L V E N:

ARTICULO 1º: Recomendar al NUEVO BANCO DE SANTA FE S.A. que en el marco de

las regulaciones existentes incrementen las acciones preventivas para
aquellas operaciones mediante canales electrónicos que no cumplen con los patrones de
comportamiento establecidos por la entidad conforme con registros que deben contar y que
permitan determinar la trazabilidad de las actividades efectuadas por el cliente posibilitando
advertir situaciones sospechosas basados en características del perfil y patrón transaccional
del cliente bancario.

ARTICULO 2º: Recomendar al NUEVO BANCO DE SANTA FE S.A. que además de reque
rir la confirmación o revalidar la instrucción del cliente mediante un
segundo factor, por ej. un token dinámico, secretos compartidos, Tarjeta de Coordenadas,
 Provincia de Santa Fe
Defensoría del Pueblo

PIN, PIL, entre otras, en los casos en que no se cumple con los patrones de comportamiento
establecidos por la entidad, verificar la identidad del cliente mediante técnicas de
identificación positiva. Asimismo, recomendar al NUEVO BANCO DE SANTA FE la
validación de datos biométricos haciendo énfasis en la imagen de los usuarios.

ARTÍCULO 3°: Recomendar al NUEVO BANCO DE SANTA FE S.A. el control

permanente y preventivo en los buscadores de internet de modo tal de
detectar la publicación de sitios falsos con dominios web que prestan a la confusión y emulan
al oficial mediante isologo y diseño de página institucional impulsando las medidas
inmediatas ante quien/es proceda para el inmediato cese de la difusión.

ARTÍCULO 4°: Recomendar al NUEVO BANCO DE SANTA FE S.A. que provea una red
de atención y monitoreo denominada 24/7 según terminología del Convenio de
Budapest de las transacciones y operaciones de los usuarios / clientes.

ARTÍCULO 5°: Recomendar al NUEVO BANCO DE SANTA FE S.A. profundizar la difu

sión en forma masiva de información y alertas de estafas, mediante la
realización de campañas de concientización sobre ciberfraude y la importancia del resguardo
de los datos personales de usuarios y clientes.

ARTÍCULO 6°: Recomendar al NUEVO BANCO DE SANTA FE S.A. el abordaje de todas

las denuncias recibidas y dar una respuesta particular a cada una de ellas
teniendo en cuenta los hechos, pruebas obrantes, vulnerabilidad del usuario, perjuicio sufrido,
controles efectuados por la entidad, patrones y alertas, evitando desconocer automáticamente
su responsabilidad con la única argumentación de la proporción de datos de accesos a los
canales electrónicos por parte del/la usuario/a.

ARTÍCULO 7°: Recomendar al NUEVO BANCO DE SANTA FE S.A. la implementación de

un Botón de Congelamiento de Cuentas para que el usuario tenga la
posibilidad de inhabilitar los movimientos bancarios en caso de detectar movimientos
extraños en relación a su comportamiento transaccional habitual.
 Provincia de Santa Fe
Defensoría del Pueblo

ARTÍCULO 8°: Recomendar al NUEVO BANCO DE SANTA FE S.A. la implementación de

APPS por MODULOS en donde el usuario acepte que movimientos /
operaciones va a tener habilitados en sus correspondientes homebanking.

ARTÍCULO 9°: Recomendar al NUEVO BANCO DE SANTA FE S.A. el estudio de la imple

mentación de un sistema de alerta mediante notificación al/la usuario/a
cuando se accede a algún canal electrónico mediante un dispositivo nuevo.

ARTÍCULO 10°: Enviar copia de la presente al BANCO CENTRAL DE LA REPÚBLICA

ARGENTINA, solicitando que se profundice el estudios de medidas
tendientes a evitar estafas mediantes la utilización de canales electrónicos y se brinde solución
de los perjuicios ocasionados. Asimismo, se contemple dictar medidas que garanticen que a
partir de la denuncia se efectúe la trazabilidad inmediata de las transacciones ilícitas y se
habilite a la entidad receptora disponer del congelamiento momentáneo de los fondos hasta
dilucidarse la situación y acentúe el control hacia las entidades financieras respecto al
cumplimiento de de las normas sobre “REQUISITOS MÍNIMOS DE GESTIÓN,
IMPLEMENTACIÓN, Y CONTROL DE LOS RIESGOS RELACIONADOS CON
TECNOLOGÍA INFORMÁTICA, SISTEMAS DE INFORMACIÓN Y RECURSOS
ASOCIADOS PARA LAS ENTIDADES FINANCIERAS” aplicando sanciones para los
casos de incumplimientos.

ARTÍCULO 11°: Enviar copia de la presente a la ASOCIACIÓN DE BANCOS DE LA AR

GENTINA (ABA), a la ASOCIACIÓN DE BANCOS ARGENTINOS
(ADEBA) y a ASOCIACIÓN DE BANCOS PÚBLICOS Y PRIVADOS DE LA
REPÚBLICA ARGENTINA (ABAPPRA) a los fines que mancomunadamente difundan por
medios de alcance masivos alertas de estafas en carácter preventivo y, sin perjuicio de las
competencias del Banco Central, analicen distintas alternativas para brindar una respuesta a
usuarios/as víctimas de estafas y protegerlo de los eventuales perjuicios económicos.