Phishing: el banco pagó $2,2 M aunque la clienta dio sus claves

El 10 de junio de 2026, la Cámara Nacional de Apelaciones en lo Comercial, Sala C, emitió un fallo que todos los usuarios de homebanking deberían conocer: condenó al HSBC Bank Argentina a pagar más de $2.200.000 en concepto de daño material y moral a una clienta víctima de phishing, aunque ella misma, engañada, había entregado sus credenciales al estafador. (Barreto, Mayra Analía c/ HSBC Bank Argentina S.A., CNCom, Sala C, 10/06/2026.)

La resolución no es un caso aislado: consolida una línea jurisprudencial clara que los bancos conocen pero prefieren ignorar. Como abogado del consumidor, lo veo todos los días: cuando un cliente denuncia que le vaciaron la cuenta, la primera respuesta del banco es que “usted entregó las claves” o que “fue víctima de su propia negligencia”. Este fallo les responde directamente: eso no alcanza para liberarlos de responsabilidad.

Qué le pasó a Mayra Barreto

La historia empieza como tantas otras. Un correo electrónico fraudulento que simulaba ser de Telecentro le llegó a un familiar de la clienta, avisando sobre una supuesta suscripción a Amazon. Al intentar resolver la situación a través de Facebook, los estafadores obtuvieron datos de contacto y bancarios. Barreto se comunicó entonces con quien creía era un empleado del banco y, convencida de que era una gestión legítima, entregó su usuario y un código de activación que el sistema bancario le había enviado por email.

Con esas credenciales, el estafador ingresó al homebanking, activó un dispositivo de seguridad digital y realizó cinco transferencias en apenas 21 minutos. Todo el dinero fue a cuentas que Barreto nunca había operado: algunas en Córdoba, otras con IPs ubicadas en los Estados Unidos. La clienta vivía y trabajaba en Berazategui, provincia de Buenos Aires.

Por qué el banco es responsable igual

La Cámara fue contundente: el homebanking es un entorno que debe calificarse como riesgoso y peligroso. Bajo el artículo 1757 del Código Civil y Comercial, quien lucra con una actividad riesgosa responde objetivamente por los daños que causa, con independencia de si el cliente cometió errores.

Pero hay un dato aún más grave. El informe elaborado por el propio HSBC reveló que las cinco transferencias se realizaron desde una dirección IP que la clienta nunca antes había usado. Esa actividad debería haber disparado alertas automáticas: cinco movimientos en 21 minutos, a destinatarios distintos, desde ubicaciones geográficas ajenas al perfil de la usuaria. El sistema del banco no las detectó, o si las detectó, no actuó.

Y hay más: un mes antes de la estafa, en abril de 2023, el Banco Central de la República Argentina había detectado debilidades en los sistemas de información y tecnología de HSBC. El banco no pudo demostrar que esas fallas habían sido corregidas antes del 20 de mayo de 2023, fecha del fraude. El regulador les había avisado. No actuaron. Y esa omisión es parte del fundamento del fallo.

Cuánto se reconoció y qué se rechazó

La condena se estructuró así:

• Daño material: $1.464.000 — total sustraído de la cuenta, con intereses desde la fecha del ilícito.
• Daño moral: $780.000 — por la incertidumbre, el desamparo y la angustia de ver la cuenta vaciada sin recibir respuesta del banco.

Se rechazaron la pérdida de chance —por falta de sustento concreto— y el daño punitivo (art. 52 bis, Ley 24.240), porque la conducta del banco, aunque negligente, no alcanzó el umbral de dolo o grave culpa que ese rubro requiere. Ojo: esto no significa que el daño punitivo nunca procede en casos de phishing. En otros fallos, cuando el banco actúa con indiferencia manifiesta o repite la misma conducta en múltiples casos, ese rubro sí ha prosperado.

Lo que esto significa para vos

Si fuiste víctima de phishing bancario —o conocés a alguien que lo fue—, tomá nota de estos pasos concretos:

• No aceptes “vos diste las claves” como respuesta final. La responsabilidad del banco es objetiva. Si el sistema no detectó operaciones inusuales, la entidad responde.
• Documentá todo de inmediato: denuncia penal, resumen de movimientos, correos fraudulentos, capturas de pantalla de los chats. Todo suma.
• Reclamá ante el BCRA a través del régimen PUSF (Protección de Usuarios de Servicios Financieros): el banco tiene 20 días hábiles para responder. Una respuesta insuficiente o la falta de respuesta puede usarse como evidencia en juicio.
• Pedí la historia de accesos a tu cuenta: IPs, horarios, dispositivos. El banco está obligado a conservar esa información y puede ser la clave de tu reclamo.
• Iniciá la acción judicial. La competencia es la del juez de tu domicilio, no la del banco (art. 36, Ley 24.240).

Si te preguntás si estos casos se ganan, la respuesta es: cada vez más sí. La jurisprudencia se está consolidando en favor del consumidor. Este fallo es un eslabón más de esa cadena. Y es importante que lo conozcas antes de resignarte.

Para más información sobre cómo actuar si usaron tus datos para sacar un crédito a tu nombre, podés leer este artículo donde explico el paso a paso.

Base legal

• CN art. 42 — derecho constitucional del consumidor a servicios eficientes y seguros.
• CCyC art. 1757 — actividades riesgosas: quien las explota responde objetivamente por los daños, aunque no haya culpa del damnificado. Ver en Infoleg.
• Ley 24.240 art. 40 — responsabilidad solidaria del proveedor de servicios por daños al consumidor. Ver en Infoleg.
• Ley 24.240 art. 36 — competencia en operaciones financieras: domicilio del consumidor; nulo el pacto en contrario.
• BCRA — Régimen PUSF — protección de usuarios de servicios financieros: 20 días hábiles para responder reclamos. Ver texto ordenado.

Preguntas frecuentes

¿El banco puede liberarse si yo entregué mis claves al estafador?

No necesariamente. La Cámara Comercial (Barreto c/ HSBC, 10/06/2026) estableció que el banco responde objetivamente porque el homebanking es una actividad riesgosa. Si el sistema no detectó 5 transferencias en 21 minutos desde IPs desconocidas, el banco es responsable aunque la víctima haya entregado las credenciales.

¿Cuánto tiempo tengo para reclamar por un fraude bancario?

El plazo de prescripción para acciones de consumidor es de 3 años (art. 50, Ley 24.240). Igual actuá rápido: documentá el fraude, denunciá penalmente y presentá el reclamo ante el BCRA dentro de los primeros días de conocido el hecho.

¿Dónde tengo que demandar: en el domicilio del banco o en el mío?

En el tuyo. El artículo 36 de la Ley de Defensa del Consumidor establece que la competencia en operaciones financieras corresponde al domicilio del consumidor. Cualquier cláusula contractual que diga lo contrario es nula de pleno derecho.

¿Qué es el régimen PUSF del BCRA y cómo me ayuda?

Es el sistema de Protección de Usuarios de Servicios Financieros del Banco Central. Podés presentar tu reclamo si el banco no te respondió o rechazó tu planteo. El banco tiene 20 días hábiles para contestar y su silencio o respuesta insuficiente puede ser usada como evidencia en tu demanda judicial.