Me estafaron por homebanking: ¿el banco debe devolverme la plata?

Q: ¿El banco tiene que devolverme la plata aunque yo haya dado mi clave?

En muchos casos, sí. El fallo Barreto c/ HSBC estableció que la entrega de claves bajo engaño no libera automáticamente al banco si su sistema no detectó ni bloqueó una actividad evidentemente inusual.

Q: ¿Cuánto tiempo tengo para reclamar?

Conviene actuar lo antes posible para preservar la prueba como registros de IP, horarios y alertas del sistema. Cada caso tiene su plazo según la vía elegida; lo mejor es consultar la situación particular cuanto antes.

Q: ¿Puedo reclamar también daño moral?

Sí. En el caso Barreto se reconoció daño moral por la angustia y el desamparo de ver vaciada la cuenta sin respuesta del banco.

Respuesta rápida: Sí, en muchos casos el banco debe responder aunque vos hayas entregado las claves engañado. Un fallo de la Cámara Comercial (Sala C, «Barreto c/ HSBC», 10/06/2026) estableció que el homebanking es un «entorno riesgoso» creado y administrado por el banco, y que la entidad tiene responsabilidad objetiva y agravada. Si el banco no detectó ni bloqueó una actividad evidentemente inusual —transferencias en cascada, desde IPs de otra provincia o del exterior, en pocos minutos—, responde por los daños. Que el cliente se equivoque no rompe automáticamente la responsabilidad del banco.

Las estafas virtuales —phishing, vishing, llamados con el cuento del reintegro o de la «compra sospechosa»— están a la orden del día. Y la primera reacción de muchos bancos es siempre la misma: «la clave la diste vos, no podemos hacer nada». Esa respuesta, hoy, no se sostiene jurídicamente. Te explicamos por qué, con un fallo concreto y los pasos para reclamar.

El caso que marcó la cancha: «Barreto c/ HSBC»

A una clienta la contactaron telefónicamente con la excusa de gestionarle un reintegro. Creyendo que era una operación legítima, entregó su usuario, su contraseña y un código de activación que le había llegado por mail. Con esos datos, los delincuentes ingresaron a su homebanking y realizaron cinco transferencias en apenas 21 minutos, por un total de $1.464.000, a cuentas desconocidas.

En primera instancia le rechazaron el reclamo: dijeron que la culpa había sido exclusivamente suya por revelar las claves. Pero la Cámara Nacional de Apelaciones en lo Comercial, Sala C, revocó esa sentencia el 10 de junio de 2026 y condenó al banco a pagar $2.244.000 ($1.464.000 de daño material + $780.000 de daño moral), más intereses.

Por qué la Justicia responsabilizó al banco

El fallo se apoya en tres pilares que conviene tener claros:

1. El homebanking es un entorno riesgoso. No es un favor: es un servicio que el banco diseña, controla y con el que gana dinero. Por eso, los daños que genera caen bajo la responsabilidad objetiva del art. 40 de la Ley 24.240 (Defensa del Consumidor) y el art. 1757 del Código Civil y Comercial. Además, al banco se lo mide con un estándar profesional agravado (art. 1725 del Código Civil y Comercial), por su superioridad técnica frente al cliente.

2. El error del cliente no rompe el nexo causal. La Cámara reconoció que la usuaria entregó las claves, pero sostuvo que eso no libera al banco cuando su propio sistema permite operaciones que se apartan drásticamente del perfil del cliente. En el caso, las transferencias salieron de IPs ubicadas en Córdoba y Estados Unidos, mientras la clienta vivía y operaba en provincia de Buenos Aires, y se hicieron con una frecuencia (cada pocos minutos) que debió disparar alertas. El sistema no las frenó. A eso se sumó un informe del Banco Central que, un mes antes del hecho, ya advertía debilidades en la seguridad informática de la entidad.

3. No alcanza con avisar en la web. El banco se defendió diciendo que tenía advertencias sobre phishing publicadas en su sitio. La Cámara lo rechazó: no se le puede exigir al consumidor que entre proactivamente a informarse. La carga es del proveedor, que debe acreditar que las recomendaciones de seguridad llegaron efectivamente al cliente (por ejemplo, mediante mails verificables).

¿Esto significa que siempre cobro?

No. Es importante ser honesto: la jurisprudencia está dividida. Existen fallos que reparten la responsabilidad entre el banco y el cliente (por ejemplo 50/50 o 75/25) cuando hubo una conducta especialmente activa o descuidada de la víctima. La fuerza del caso «Barreto» está en la actividad inusual que el banco debió detectar y no detectó. Por eso, cuando se reclama, ese es el punto a probar: que el patrón de las operaciones era flagrantemente anómalo y que el sistema del banco falló en frenarlo.

Qué hacer si fuiste víctima de una estafa virtual

Guardá toda la prueba: comprobantes de las transferencias, fechas y horarios exactos, mails, mensajes y capturas de las comunicaciones con los estafadores.
Hacé la denuncia penal por la estafa.
Reclamá por escrito ante el banco exigiendo la devolución de los fondos. Pedí que conserven los registros de las operaciones (IPs, horarios, alertas).
Pedí el informe de seguridad: que el banco acredite que su sistema de monitoreo funcionó y que las advertencias te llegaron.
Si el banco rechaza el reclamo, acudí a Defensa del Consumidor y/o iniciá la acción judicial.

En el Estudio analizamos tu caso, reunimos la prueba clave y reclamamos la restitución de los fondos y el daño moral. No te quedes con la primera negativa del banco.

¿Querés saber qué podés reclamar en TU caso puntual? Escribile a mi asistente legal y resolvé tus dudas al instante, gratis y online.

Consulta con el asistente IA →

Preguntas frecuentes

¿El banco tiene que devolverme la plata aunque yo haya dado mi clave?
En muchos casos, sí. El fallo «Barreto c/ HSBC» estableció que la entrega de claves bajo engaño no libera automáticamente al banco si su sistema no detectó ni bloqueó una actividad evidentemente inusual.

¿Qué es una «actividad inusual» que el banco debió frenar?
Operaciones que se apartan del perfil del cliente: varias transferencias en pocos minutos, a destinatarios desconocidos, desde direcciones IP de otras provincias o del exterior, montos atípicos. Ese patrón debe disparar alertas y bloqueos preventivos.

¿Sirve que el banco tenga advertencias de phishing en su página web?
No alcanza. La Justicia entendió que el banco debe probar que las recomendaciones de seguridad le llegaron efectivamente al cliente (por ejemplo, por mail), y no que estaban disponibles en un sitio al que el usuario debería haber entrado por su cuenta.

¿Cuánto tiempo tengo para reclamar?
Conviene actuar lo antes posible para preservar la prueba (registros de IP, horarios, alertas del sistema). Cada caso tiene su plazo según la vía elegida; consultá tu situación particular cuanto antes.

¿Puedo reclamar también daño moral?
Sí. En «Barreto» se reconoció daño moral por la angustia y el desamparo de ver vaciada la cuenta sin respuesta del banco.

Guías relacionadas

Esta nota fue elaborada por el Dr. Mario Vadillo, abogado especialista en Defensa del Consumidor y del Usuario de Servicios Públicos (Matrícula T° 75 F° 347, Mendoza), titular del Estudio Jurídico Mario Vadillo. Tiene fines informativos y no reemplaza el asesoramiento profesional sobre un caso concreto.