Un juzgado comercial de la Capital Federal condenó solidariamente a Telecom Argentina y al Banco Supervielle a indemnizar con $26 millones a un cliente que perdió $1 millón por una estafa de SIM Swapping. El fallo responsabiliza a ambas empresas por fallas de seguridad.
En una sentencia que protege a los usuarios financieros, un juzgado comercial de la Capital Federal condenó de manera solidaria a Telecom Argentina y al Banco Supervielle a indemnizar con $26 millones a un cliente al que le sustrajeron un millón de su cuenta mediante la estafa conocida como SIM Swapping.
El fallo del juez Diego Paz Saravia señala que este tipo de maniobra no es un riesgo que el usuario deba soportar solo, sino que las empresas no pueden trasladar sus fallas de seguridad a la parte más débil de la cadena: el consumidor.
El hecho ocurrió el 25 de junio de 2022. W. M. realizó varias operaciones con su tarjeta de débito durante el día, pero a las 19:30 la tarjeta fue rechazada en un local de Ramos Mejía. Al consultar con el banco descubrió que, en solo cinco minutos, se habían ejecutado tres transferencias (dos por $500.000 y una por $77.000) a un destinatario desconocido con cuenta en Brubank.
El cliente efectuó la denuncia policial, pero dos días después descubrió que los estafadores habían realizado la maniobra a través de su teléfono: Telecom (Personal) había procesado un cambio de titularidad de su línea a favor de un tercero sin su autorización. Al tomar control del número, los estafadores recibieron los códigos de validación (SMS Token) que el Banco Supervielle utilizaba para autorizar operaciones, logrando vulnerar el sistema de homebanking y vaciar la cuenta.
El juez rechazó los intentos de ambas empresas de deslindar responsabilidad. Telecom Argentina planteó una excepción de falta de legitimación pasiva, alegando que solo proveen conectividad, y sostuvo que el fraude fue un hecho de un tercero. El Banco Supervielle argumentó que el sistema funcionó correctamente porque el ingreso fue con usuario y clave correctos y se validó con el SMS Token. Sin embargo, la empresa de telefonía fue hallada responsable por permitir el cambio de titularidad de la línea y la emisión de un nuevo chip sin verificar adecuadamente la identidad del solicitante. El fallo resalta que esta negligencia fue la llave que permitió el fraude.
Sobre la entidad bancaria, el juez determinó que falló en sus deberes de seguridad al no detectar una operatoria manifiestamente inusual: transferencias de montos elevados, sucesivas y realizadas desde una dirección IP radicada en la República de Chile. El juez enfatizó que el banco no adoptó medidas eficaces para bloquear transacciones que se apartaban del perfil habitual del cliente.
Un dictamen pericial confirmó que el intruso conocía los mecanismos de validación de la operadora telefónica para autorizar el reemplazo de la tarjeta SIM. Al tener el nuevo chip, el estafador recibió los códigos de autenticación (2FA) y, con la contraseña de acceso, vació la cuenta. La sentencia encuadró el caso bajo la Ley de Defensa del Consumidor, aplicando un estándar de responsabilidad objetiva y agravada para ambas firmas. La resolución remarcó que la multa civil busca no solo reparar el daño individual, sino funcionar como un incentivo para que las grandes corporaciones inviertan en mecanismos de prevención reales.