Fabricio Corace1,c1
1Universidad de Buenos Aires, Argentina
Fecha de recepción: 9 de marzo de 2026
Fecha de aceptación: 4 de junio de 2026
Resumen
El presente artículo analiza la responsabilidad civil de las entidades financieras frente al fenómeno del phishing, tomando como eje el reciente pronunciamiento del Superior Tribunal de Justicia de Corrientes en autos A., F. c/ Banco de Corrientes S.A.. A través de un método dialógico entre el Derecho de Daños y el Estatuto del Consumidor, se examina la defensa habitual de las entidades basada en la culpa de la víctima. Se propone una relectura del nexo causal bajo la teoría de la causalidad adecuada, distinguiendo el hecho del damnificado como mera condición antecedente frente a la omisión de medidas de seguridad del banco como causa jurídica del daño.
Abstract
This article analyzes the civil liability of financial institutions regarding the phishing phenomenon, based on the recent ruling of the Superior Court of Justice of Corrientes in the case A., F. v. Banco de Corrientes S.A.. Through a dialogical method between Tort Law and the Consumer Protection Statute, the common defense of financial entities based on the 'victim's fault' is examined. A reinterpretation of the causal link is proposed under the theory of proximate cause, distinguishing the victim's act as a mere antecedent condition versus the bank's failure to implement security measures as the legal cause of the harm.
El 23/12/25, el Superior Tribunal de Justicia de la Provincia de Corrientes confirmó1 lo resuelto por la Sala IV de la Cámara de Apelaciones en lo Civil y Comercial de la capital, en cuanto admitió la demanda de restitución de haberes retenidos en concepto de un contrato de préstamo declarado nulo por ser el resultado de un ciberdelito (phishing), con más el reconocimiento de un monto indemnizatorio en concepto de daño moral. El caso se originó en el reclamo de una persona -calificada como hipervulnerable por la edad y el contexto tecnológico- perjudicada por la contratación de un préstamo digital a su nombre, a raíz de lo cual el banco le retuvo los haberes para el recupero.
Si bien del fallo no surge el modo exacto del engaño, se desprende que la maniobra habría sido perpetrada por una persona de confianza de la víctima -quizás un familiar- a quien se le facilitaron las credenciales de acceso al sistema de banca electrónica, desencadenando la suplantación de identidad, la celebración del préstamo digital y la transferencia de las sumas del mutuo. La postura asumida por el Banco de Corrientes SA consistió en invocar la culpa de la víctima como causa del daño, al haber sido la actora la que brindó la información necesaria para que se concrete el hecho ilícito.
En las instancias ordinarias se admitió la demanda con fundamento en: a) la responsabilidad objetiva del banco frente al consumidor; b) la comprobación de omisión del deber de seguridad del banco; c) la falta de prueba de la eximente invocada, la que debe ser interpretada restrictivamente y tener las características de un caso fortuito externo. Finalmente, en la instancia casatoria provincial, se confirmó lo decidido y se desestimó el argumento de la defensa porque no resulta “jurídicamente sostenible” además de “ser un argumento falaz”, ya que “desconoce principios fundantes del derecho del consumidor y la especial posición que ocupa una entidad financiera dentro del ordenamiento jurídico” (considerando VI, párr. 7).
En el voto del Dr. Guillermo Horacio Semhan, se lee “es el proveedor quien debe demostrar haber actuado con la debida diligencia” (considerando VI, párr. 8).
El magistrado mencionado -luego de citar los arts. 3 y 4 de la ley 24.240 (a partir de ahora LDC) y los arts. 1710 y 1094 del Código Civil y Comercial de la Nación (a partir de ahora CCCN)- consideró que el solo hecho de confiar en un tercero no exonera al banco, quien actúa como custodio de fondos ajenos con un deber de seguridad objetivo y agravado” (considerando VI, párrs. 9 y 10).
También remarcó que pretender que la confianza en un tercero transforme un delito en un acto voluntario o culposo de la víctima es una inversión inaceptable del principio protectorio (considerando VI, párr. 11). El Sr. Juez observó respecto de la entidad bancaria que, al ser un empresario titular de una hacienda especializada con interés público, se le exigen estándares más altos de responsabilidad (consid. VII, párr. 2).
El ponente concluyó diciendo que el servicio de home banking es una "actividad riesgosa" y el sistema informático una "cosa riesgosa", lo que determina la responsabilidad objetiva de la institución financiera por la existencia de un deber de garantía que pesa sobre ella como extremo fuerte de la relación (consid. VII, párr. 5).
El Supremo provincial resolvió, con claros y sólidos argumentos, la cuestión frecuente sobre el reclamo de indemnización y nulidad contractual por parte de víctimas de estafas digitales bancarias que concluyen con el vaciamiento de cuentas o la contratación de préstamos. En los últimos años2 aumentaron exponencialmente los casos donde el delincuente emplea técnicas basadas en las tecnologías de la información y de la comunicación, se apropia de las credenciales de la víctima y efectúa operaciones con repercusión inmediata en sus intereses económicos.
Carram (2025) explica que mediante técnicas como el phishing (engaño), malware (espionaje), hacking (intrusión) y exploits (fallos de sistema), los ciberdelincuentes vulneran la seguridad de los usuarios para robar su información sensible. El fin último de estas amenazas es comprometer la privacidad y los datos de identificación bancaria para ejecutar fraudes en la banca digital.
Esta novedosa clase de conflictos obliga a los jueces y al resto de los operadores jurídicos a replantearse ciertos dogmas para ajustarlos a los fenómenos propios de la Cuarta Revolución Industrial (Galdós, 2026) a fin de obtener una respuesta jurisdiccional justa.
En los párrafos que siguen y dentro de los límites de este trabajo, se aprovechará la decisión reseñada para intentar algunas reflexiones vinculadas a la eximente hecho del damnificado dentro del sistema de responsabilidad objetiva bancaria.
Ello por cuanto, en general, la defensa usual de la entidad bancaria en esta clase de conflictos es la causa ajena configurada por culpa de la víctima o hecho del damnificado; esto es, el argumento de que el hecho no se habría producido sin que la víctima compartiera sus datos personales, claves de acceso, credenciales, etc.
De manera que, en la mayoría de los procesos judiciales llevados a cabo como consecuencia de un caso de phishing u otra modalidad de cibertestafa, la clave de la solución definitiva se aloja en el presupuesto del nexo adecuado de causalidad; ya que, como observan Pizarro y Vallespinos (2019): “La relación causal adecuada que debe existir entre la acción y el daño puede verse alcanzada por la presencia de factores extraños con idoneidad para suprimir o aminorar sus efectos…se los denomina causa ajena” (p. 259).
Por añadidura, como es sabido, la admisión total o parcial de esta hipótesis de causa ajena determinará el rechazo de la demanda o una disminución de la indemnización fijada en la sentencia, lo que pone de manifiesto el indudable cariz práctico de la cuestión.
La víctima -en un marco de aparente confianza- proporciona sus credenciales de acceso a un agente externo que utiliza la información para operar como si fuera el legítimo titular (suplantación de identidad). Estas actividades son actos de disposición fraudulentos: transferencias de ahorros, toma de préstamos o cobro de anticipos de salarios. El paso preliminar es la revelación de datos, cuyas modalidades varían: buscadores que entregan páginas mellizas, correos electrónicos con vínculos falsos o llamadas telefónicas (vishing) donde se induce al cambio de claves bajo asesoramiento fraudulento.
El elemento común es la participación personal de la víctima, fundamento de la excusa liberatoria bancaria. Del decisorio no resulta evidente la secuencia exacta, pero al parecer se brindaron datos a un conocido quien, abusando de la confianza, consumó el daño. Es importante hace notar que aunque esto se distancie del phishing clásico, lo dirimente es que hay engaño y manipulación para la entrega de claves bancarias.
La doctrina autoral y judicial nacional coincide en su mayoría en que hay responsabilidad civil objetiva de los bancos por los daños causados en el uso de banca electrónica. Barreira Delfino (2022) resalta la evolución hacia la objetivación de la responsabilidad, siendo ésta la tendencia nacional actual.
Los fundamentos normativos varían entre el deber de seguridad (art. 5° LDC), el riesgo o vicio de la cosa o de la prestación del servicio (art. 40 LDC) o el riesgo o vicio de actividades o cosas (art. 1757 CCCN); cualquiera de estas vías legales conducen a la responsabilidad civil objetiva del proveedor bancario en casos de estafa digital que perjudican a sus clientes.
Kirpach (2024) subraya como “lineamientos nodales en orden a la responsabilidad bancaria emergentes de la doctrina y jurisprudencia modernas […] el deber de seguridad que pesa sobre el proveedor, la actividad bancaria como cosa riesgosa y el deber de prevención de los daños” (p. 8).
El fallo aquí analizado se inscribe en aquélla línea interpretativa, dado que refiere al homebanking como actividad riesgosa, al sistema como cosa riesgosa y al deber de garantía, lo que confirma el carácter objetivo de la atribución (considerando VII, 5° y 6° párr.).
La responsabilidad objetiva de derecho común se encuentra regulada en el Capítulo 1, Título V del Libro Tercero del CCCN. En este ámbito, el sindicado solo podrá liberarse invocando y demostrando que el perjuicio fue producto de una causa ajena: el hecho del damnificado, el hecho de un tercero o el caso fortuito (arts. 1722, 1723, 1729, 1730, 1757 CCCN).
En cambio, el agente no podrá evadirse simplemente demostrando un obrar diligente o el cumplimiento de técnicas de prevención (arts. 1722 y 1757 CCCN).
Es relevante destacar que, junto a Picasso (2015) que el “hecho del damnificado” debe reunir los caracteres del caso fortuito (imprevisibilidad, inevitabilidad y ajenidad) para excluir totalmente la responsabilidad del demandado (p. 430). La ajenidad o externidad es el carácter decisivo, en cuanto indica que la causa del perjuicio -para eximir al demandado- debe originarse en un ámbito ajeno a su actividad o riesgo (arg. contrario sensu art. 1733 inc. e CCCN).
Por otro lado el banco también puede eximirse parcialmente si se determina una concurrencia causa: en este caso se considera que hay cocausación por causalidad conjunta o común. El hecho resulta de la actuación concurrente y causalmente relevante de dos o más agentes que coadyuvan con su conducta a la producción del daño (Zannoni, 2005, p. 17)3.
El régimen general de responsabilidad civil objetiva antes descripto debe ser situado en un contexto de diálogo de fuentes (art. 1° CCCN) con el microsistema de protección del consumidor4.
El cliente bancario es un consumidor en los términos del art. 1° LDC y art. 1092 CCCN: una persona humana o jurídica que adquiere onerosamente del banco -intermediario financiero- servicios como destinatario final. Entre ambos se celebran uno o más contratos de consumo con la técnica de la adhesión a cláusulas generales predispuestas (arts. 984 y 1093 CCCN).
En materia de responsabilidad civil frente al consumidor demandante la responsabilidad objetiva del proveedor puede resultar del incumplimiento del deber de seguridad en la relación de consumo o del vicio o riesgo de la cosa o la prestación del servicio (arts. 5 y 40 LDC).
De acuerdo con Sozzo (2016), no hay una incompatibilidad sustancial entre el sistema de daños general del CCCN y el sistema especial de la LDC, aunque la perspectiva de valoración “requiere(n) que los conceptos, las instituciones, los principios del sistema general se adecuen al ideal de protección maximalista del consumidor” (p. 287).
Por lo tanto, regirán las mismas categorías de eximentes previstas en los arts. 1729 a 1731 CCCN pero deberán ser interpretadas, en caso de duda, del modo más favorable al consumidor (art. 3°, 2° párr. LDC; art. 1094, 2° párr. CCCN).
Para completar este prieto esquema, no cabe soslayar que en la generalidad de los casos la interacción entre el consumidor y el proveedor financiero a través de canales electrónicos (art. 1106, CCCN) crea dificultades adicionales para el ejercicio de los derechos que obliga a adoptar una perspectiva de juzgamiento especial que tenga en miras la hipervulnerabilidad agravada en que se encuentra el usuario digital5.
Como se anticipó, el Banco de Corrientes alegó que el fraude fue el resultado de un acto voluntario del damnificado al facilitar sus claves. Por lo tanto, lo que debe esclarecerse en la estafa digital es si aquél hecho del damnificado fue causalmente adecuado al resultado dañoso (arts. 1726 CCCN).
Según la teoria de la causalidad adecuada, entre las distintas condiciones que concurren en la producción de un hecho, solo algunas constituyen causa -apta para generar consecuencias jurídicas- y son aquéllas “que acostumbran a suceder según el curso natural y ordinario de las cosas” (art. 1727 CCCN).
Aciarri (2009) sostiene que la teoría de la causa adecuada distingue entre el conjunto de condiciones que preceden a determinado hecho a fin de seleccionar aquéllas con relevancia jurídica para ser reputadas causa en sentido jurídico. Esto significa que “un hecho causa otro, si la presencia del primero (que es condición sine qua non del segundo) incrementa significativamente la probabilidad del segundo” (Aciarri, 2009, p. 105).
Calvo Costa (2021) en la misma senda dice: “esta teoría se construye a partir de un criterio de probabilidad” sobre la base de un conjunto de hechos antecedentes (p. 4).
Por lo tanto, un hecho puede ser simple condición antecedente de determinado resultado y no su causa, en el sentido de esta teoría. La condición recién se elevará a la categoría causal cuando haya sido adecuada para producir el resultado según una determinada regularidad fáctica, en la que es probable el desenlace.
El criterio de probabilidad puede ser estadístico -que contiene series regulares de eventos comprobadas empiricamente- o lógico (grado de verosimilitud o credibilidad que puede ser atribuido a la hipótesis formulada al caso en concreto) (Aciarri, 2009, pp. 98-99).
Fijado lo anterior, lo que debería determinarse al efecto de respaldar la afirmación de que la víctima causó (o cocausó) el hecho dañoso es que, de acuerdo a cierta regularidad de hechos, la circunstancia de compartir las credenciales bancarias privadas incrementará probablemente la producción de un hecho ilícito en contra del titular de la cuenta. Si bien la respuesta afirmativa parece intuitiva y sencilla, encierra distintas dificultades fundamentales6.
El desafío -y tal vez la insuficiencia teórica- que importa la teoría de la causalidad adecuada se vislumbra en casos como el analizado, donde el desenlace perjudicial (el vaciamiento de la cuenta, la toma de préstamos, etc.) es la culminación de una serie concatenada de circunstancias sucesivas cuya autoría corresponde a diversos agentes, en la que solo al comienzo del iter tiene a la víctima como protagonista.
Bustamante Alsina (1997) a propósito de estos supuesto destaca: “Es más difícil cuando el daño cuyo resarcimiento se pretende es el resultado final de hechos antecedentes que no en forma concurrente sino sucesiva se producen, derivando en un mal de otro mal que es a su vez su causa” (p. 271)7. También Aciarri (2009) ve en los casos de contribución causal “una de las complicaciones claves” (p. 115).
Resulta evidente que el juicio de adecuación causal probabilístico que demanda esta clase de indagación -si se quiere realmente satisfacer los postulados de la teoría de la causalidad adecuada- tiene repercusión clara para la tarea valorativa que debe realizar el juzgador, ya que pone en jaque la exigencia de verificabilidad de los enunciados que debe contener todo razonamiento judicial.
Del mismo modo, López Mesa (2008) se hace eco de estas perplejidades y en un artículo con título por demás sugestivo repara en que el juicio de adecuación causal en muchos casos deriva en apreciaciones de carácter intuitivo o conjetural antes que en análisis causales regulares, razonados y susceptibles de demostración en torno a la probabilidad de los cursos causales propuestos.
Sin pretensión de dar una respuesta exhaustiva -ni mucho menos definitiva- se puede coincidir en que el hecho de compartir las credenciales bancarias con un tercero constituye puede constituir un obrar negligente por parte del damnificado y una condición material que presupone el resultado estafa digital pero no luce tan clara la proposición de que incrementa significativamente el desenlace dañoso8.
Al respecto Zavala de González (1997) advierte que la culpa de la víctima carece de incidencia a estos efectos cuando su conducta no actúa como causa o concausa del daño y se limita a operar como un antecedente del hecho dañoso atribuido al demandado.
En todo caso, cualquier atisbo de duda sobre la connotación causal del hecho del damnificado debería resolverse a su favor por aplicación del principio protectorio (art. 3°, 2° párr. LDC; art. 1094, 2° párr. CCCN).
La teoría de la causalidad adecuada es una categoría jurídica para imputar consecuencias a hechos según el criterio de normalidad (lo que acostumbra a suceder…) pero existen otras herramientas conceptuales que cumplen la misma función de selección de hechos antecedentes (condiciones). En este punto cabe tener en cuenta que el juicio de adecuación causal es un juicio de valor que se realiza una vez que se constató la conexión material o física entre hechos antecedentes y consecuentes.
Los criterios de la llamada teoría de la imputación objetiva, por ejemplo, agrupan un conjunto de reglas determinativas de la relación de causalidad que son aplicables de acuerdo al ámbito de la interacción social y negocial en donde se verifiquen los hechos sometidos a la indagación causal. Prieto Molinero (2014) explica que si bien se originó en el derecho penal alemán y de allí paso al derecho civil español, puede ser aplicada en el ámbito civil nacional como un test residual y complementario de la teoría de la causalidad adecuada.
Uno de tales criterios es el de la prohibición de regreso, según el cual se impide imputar las consecuencias del evento dañoso a quien aportó la condición causal inicial -en este caso sería el damnificado por la estafa electrónica- si con posterioridad y durante el curso de los acontecimientos se verificó la intervención dolosa o gravemente imprudente de un tercero (en este caso, el autor de la estafa) o bien, este sujeto es garante de la evitación del resultado (entidad bancaria).
El criterio de imputación objetiva anterior tendría -a diferencia del juicio de adecuación causal- la virtud de atribuir consecuencias dañosas sobre la base del rol de garante que ocupa la entidad financiera o bancaria como proveedor del servicio de banca electrónica; correlativamente, la actuación de la víctima se torna transparente a los efectos causales.
A propósito de lo último, Aciarri (2008) explica que la transparencia o indiferencia causal es el resultado de una exclusión especial de causalidad según la cual se: “imponen una consideración causal negativamente privilegiada de los hechos de la víctima (para excluirlos, en ciertos casos, de las condiciones elegibles como causa de un daño)” (p. 191). Este mecanismo no es ajeno, por otra parte, al derecho argentino9.
Esto se traduce, en definitiva, que el rol de garante de uno de los agentes del resultado dañoso absorbe la condición inicial que pueda haber colocado inicialmente el perjudicado.
La afirmación de la calidad de garante del banco está conforme con los desarrollos dogmáticos del derecho de daños nacional, en cuanto la garantía constituye un factor de atribución objetivo (Bustamante Alsina, 1997; p. 382) en consonancia con el aporte del derecho del consumo, por la naturaleza del deber de seguridad como obligación de resultado (Kirpach, 2024) y que, de acuerdo a algunos autores, resulta en una responsabilidad ultra-objetiva (Shina, 2021) o ultra-objetivizada (Barreira Delfino, 2022)10.
La tendencia interpretativa de las eximentes en esta materia es claramente restrictiva sobre la base de la asimetría entre consumidor y proveedor.
El aspecto común que subyace detrás del enfoque según criterios de imputación objetiva (prohibición de regreso para quien ostenta el rol de garante) o de los factores objetivos de atribución (deber de garantía) es el reconocimiento de la superioridad técnica, económica e informativa de la entidad bancaria a los fines de delimitar consecuencias legales e imputar responsabilidad civil11. Esta constatación fáctica repercute en todas las fases de la relación de consumo contractual con el cliente-consumidor.
En el tramo de responsabilidad de la entidad bancaria por hechos de estafa digital la asignación total de las consecuencias perjudiciales a cargo del sujeto fuerte de la relación jurídica se sustenta objetivamente sobre su condición de garante del sistema de banca electrónica; noción que en nuestro en derecho encuentra perfecta cabida en el deber objetivo de seguridad del art. 5 LDC.
Con lo cual, todo daño derivado de la concreción de los riesgos previsibles inherentes a la prestación del servicio12 activa la responsabilidad civil objetiva del ente financiero por violar la seguridad personal del usuario.
La decisión del Tribunal Cimero correntino está en línea con la tendencia adecuada al establecer la responsabilidad objetiva bancaria y desestimar el hecho del damnificado.
Como tantas veces quedó demostrado, el banco diseña, organiza, implementa, controla y evalúa el sistema a través del cual presta el servicio de banca electrónica a sus clientes y los defectos o fallas del sistema en diversos tramos (falta de identificación del cliente, control de las operaciones o de congelamiento provisorio de cuenta por situaciones irregulares) entrañan eventualidades que son aptas para generar menoscabos.
Existe un riesgo incorporado al desarrollo de la actividad o servicio bancario que debe ser asumido por la organización que controla el sistema en su rol de garante (art. 5 LDC)13. Por consiguiente, no se configura la ajenidad del hecho requerida para exonerar totalmente de responsabilidad (art. 40 LDC; art. 1729 CCCN).
El Banco está en condiciones de prevenir la maniobra a través de una adecuada actuación y en este aspecto se verifica el elemento crítico que activa su responsabilidad por los daños y perjuicios sufridos por los clientes que sufren estafas digitales al operar con el homebanking. Este factor decisivo fue atinadamente considerado por la decisión del Superior Tribunal de Justicia de Corrientes para arribar a una justa solución del caso planteado a través de una decisión razonablemente fundada (art. 3°, CCCN).
