Fraude phishing bancario online - banco responsable aunque víctima dio credenciales Argentina

Phishing: diste las claves al estafador y el banco igual tiene que pagarte

Llegó un mensaje que parecía del banco. O fue un llamado telefónico con número oficial. Alguien que se presentó como “agente de seguridad” te dijo que tu cuenta estaba comprometida y te pidió tus claves de homebanking para “verificar tu identidad”. Vos, asustado, las diste. Al día siguiente, la cuenta estaba vacía.

La respuesta del banco fue inmediata: “Usted entregó voluntariamente sus credenciales. Eso lo exime de toda responsabilidad a la entidad.” Es exactamente lo que le dijeron a Mayra Barreto cuando fue al HSBC a pedir que le devolvieran su dinero. Y es exactamente lo que la Cámara Nacional de Apelaciones en lo Comercial —Sala C— rechazó de plano en un fallo dictado el 10 de junio de 2026.

El banco tuvo que pagar. Más de dos millones de pesos en daños. Porque la Justicia fue clara: la responsabilidad del banco frente al fraude digital es objetiva. No importa si la víctima cometió un error. El banco tiene la obligación de protegerla, y si no lo hizo, responde.

Qué pasó en el caso Barreto vs. HSBC

Mayra Barreto fue víctima de phishing: mediante engaño, los estafadores la indujeron a entregar sus credenciales de homebanking. Con esas claves, vaciaron su cuenta. El banco de primera instancia argumentó que la culpa era de la clienta por haberlas entregado. La Cámara Comercial lo revocó.

El tribunal estableció que el banco no tomó medidas de seguridad preventivas adecuadas ni alertó a la cliente sobre las señales de alerta que los propios sistemas debieron detectar. La forma en que se cometió el ilícito —con señales claras de operaciones inusuales— no podía atribuirse exclusivamente a la víctima.

La condena final:

  • Daño material: $1.464.000 — el monto total extraído, con intereses desde la fecha del hecho.
  • Daño moral: $780.000 — por la situación de incertidumbre, abandono y angustia que sufrió la cliente cuando vaciaron su cuenta y el banco no le dio ninguna solución.
  • Total: más de $2.200.000 a cargo de HSBC.

Por qué la culpa de la víctima no exime al banco

Este es el punto central del fallo y el que más le importa a quien está en esa situación: entregaste las claves, sí. Pero eso no convierte al banco en inocente.

La Cámara aplicó dos normas concretas:

  • Artículo 40 de la Ley 24.240 (Defensa del Consumidor): el prestador del servicio responde objetivamente frente al daño causado. No necesita probarse su culpa; basta con que el daño ocurriera en el marco del servicio que presta.
  • Artículo 1757 del Código Civil y Comercial: responsabilidad objetiva derivada del riesgo o vicio de la cosa o del servicio. El homebanking es un servicio riesgoso; quien lo ofrece asume esa responsabilidad.

En términos prácticos: el banco sabe —o debería saber— que el phishing existe y que es una amenaza constante. Tiene la obligación de implementar sistemas de detección de operaciones sospechosas, de alertar al cliente en tiempo real y de ofrecer mecanismos de reversión rápida. Cuando no lo hace, no puede escudarse en el error del usuario.

No es un fallo aislado: la Justicia viene condenando a los bancos en serie

El caso Barreto-HSBC no es una excepción. En lo que va de 2026, los tribunales argentinos acumulan una tendencia clara:

  • En marzo de 2026, un banco fue condenado a pagar $20 millones por hackeo de cuenta de homebanking (fallo publicado el 9 de marzo, según 0223.com.ar).
  • En marzo de 2026, la Justicia ordenó a otro banco devolver todo el dinero a una víctima a quien le vaciaron las cuentas tras una estafa virtual (Infobae, 17 de marzo).
  • En abril de 2026, un banco fue obligado a reintegrar el dinero robado tras el hurto de un celular con el que los ladrones accedieron a todas las aplicaciones financieras de la víctima (Infobae, 27 de abril).
  • Los Andes informó de una condena histórica de más de $140 millones a una pyme por ciberestafa bancaria.

La jurisprudencia es consistente: los bancos no pueden trasladarle al usuario la responsabilidad por la inseguridad de sus propios sistemas.

Qué hacer si fuiste víctima de phishing bancario

Si te pasó esto, actuá rápido y con orden:

  1. Llamá al banco de inmediato para bloquear la cuenta y dejar constancia de lo ocurrido. Pedí un número de caso o referencia.
  2. Hacé la denuncia penal en la comisaría más cercana o en la División Delitos Informáticos de la Policía. El número de denuncia es importante para el proceso posterior.
  3. Enviá una carta documento al banco exigiendo la devolución del dinero en el plazo legal y reservando acciones legales.
  4. Presentá una denuncia ante el Banco Central (BCRA) en bcra.gob.ar/BCRAyVos, que tiene un canal específico para reclamos financieros.
  5. Acudí a Defensa del Consumidor: el banco es un proveedor de servicios bajo la Ley 24.240 y tiene la obligación de responderte.

No aceptes el argumento de que “vos entregaste las claves”. Como establece la jurisprudencia más reciente, eso no libera al banco de su responsabilidad objetiva de garantizar la seguridad del servicio que te vende.

Si fuiste víctima de phishing o fraude bancario digital y el banco te está diciendo que la culpa es tuya, podés consultarme. El fallo HSBC de junio de 2026 es un precedente importante y puede ser el punto de partida para tu reclamo.

Notas relacionadas

Scroll al inicio
Consulta legal