Un fallo de la Cámara Comercial de junio de 2026 confirmó que el banco responde objetivamente por los daños del phishing, aunque la víctima haya entregado sus claves al estafador.
Si te robaron dinero de tu cuenta bancaria a través de una estafa virtual, el banco tiene que devolvértelo. Así lo confirmó un fallo de la Cámara Nacional de Apelaciones en lo Comercial, Sala C, del 10 de junio de 2026, en el caso «Barreto, Mayra Analía c/ HSBC Bank Argentina S.A.». La Cámara revocó la sentencia de primera instancia que había rechazado la demanda y condenó al banco a pagar más de $2.200.000 en concepto de daño material y daño moral, aunque la propia víctima fue quien, engañada, entregó sus datos de acceso al homebanking a los estafadores.
La responsabilidad del banco frente al phishing es objetiva: no importa si la víctima cometió errores. Lo que importa es si el banco detectó —o debió detectar— la actividad inusual en la cuenta y no actuó. Si el sistema de homebanking permite que se realicen cinco transferencias a destinatarios distintos en 21 minutos desde IPs de otra provincia o del exterior, y el banco no bloquea ninguna, el banco responde.
Cómo funcionó la estafa
La Sra. Barreto tenía una cuenta sueldo en HSBC pero nunca había activado la aplicación móvil del banco. Un familiar suyo recibió un correo electrónico que supuestamente provenía de Telecentro, informando el alta de una suscripción en Amazon que nunca había contratado. Al intentar resolver el problema a través de Facebook, los estafadores le solicitaron un número de teléfono de contacto. Al día siguiente lo llamaron diciendo que le harían un reintegro y pidieron un número de cuenta bancaria. Como el familiar no tenía cuenta propia, la propia Sra. Barreto se contactó con el supuesto empleado y, creyendo que se trataba de una operación legítima, le brindó su nombre de usuario y un código de activación que le había llegado por correo electrónico del banco.
Con esas credenciales, el estafador ingresó al homebanking de Barreto, activó un dispositivo de seguridad digital y realizó cinco transferencias en apenas 21 minutos: $190.000, $99.000, $399.000, $399.000 y $377.000, todas hacia cuentas de personas que la clienta no conocía. El total sustraído: $1.464.000.
El banco dijo que la culpa era de la clienta. La Cámara dijo que no.
En primera instancia, el juez rechazó la demanda. El argumento central: como la propia actora había proporcionado su usuario, contraseña y código de activación, el banco no podía haber previsto ni evitado el fraude, y eso rompía el nexo de causalidad. Según esa lógica, el banco había cumplido con sus obligaciones de seguridad al implementar el doble factor de autenticación.
La Cámara, sin embargo, encontró que había algo mucho más grave: el banco sabía —o debía saber— que algo estaba mal, y no hizo nada. El informe elaborado por la propia entidad bancaria revelaba que las cinco transferencias se originaron desde una dirección IP que la clienta nunca había usado antes y fueron enviadas a IPs ubicadas en Córdoba y en Estados Unidos, cuando Barreto vivía y trabajaba en Berazategui, Provincia de Buenos Aires. Esa actividad inusual —cinco movimientos en 21 minutos, a destinatarios distintos, desde ubicaciones geográficas completamente ajenas a la usuaria— debió haber sido detectada oportunamente por el banco y no lo fue.
Pero eso no fue todo. Un mes antes del robo, en abril de 2023, el Banco Central de la República Argentina había identificado debilidades en los sistemas informáticos y tecnológicos de HSBC. Y la entidad no pudo demostrar que esas fallas hubieran sido subsanadas antes del 20 de mayo de 2023, fecha del fraude.
El homebanking es un entorno riesgoso: los riesgos los paga el banco
La Cámara aplicó el art. 40 de la Ley de Defensa del Consumidor y el art. 1757 del Código Civil y Comercial: la responsabilidad objetiva derivada del riesgo o vicio del servicio. El homebanking, dijo la Sala C, «son entornos que deben calificarse como riesgosos y peligrosos con la consecuente potencialidad de generar daños al consumidor». Quien obtiene un provecho de ese servicio —el banco— es quien responde por los daños que genera.
Para eximirse de esa responsabilidad, el banco debe demostrar que la causa del daño le fue totalmente ajena: culpa de la víctima, hecho de un tercero o caso fortuito. Pero la Cámara fue contundente: el modo en que se consumó el ilícito —con señales de alerta claras que el banco no detectó— impide atribuir culpa exclusiva a la clienta. El banco no tomó medidas preventivas de seguridad ni de información que le hubieran correspondido.
El banco puso advertencias en su web, pero no le avisó a la clienta
HSBC intentó demostrar que cumplió con el deber de seguridad en las relaciones de consumo mostrando que tenía advertencias sobre phishing publicadas en su sitio web. La Cámara rechazó ese argumento con una razón muy clara: no puede exigírsele al consumidor que ingrese proactivamente al sitio del banco para informarse. Esa carga corresponde al proveedor, no al cliente. Y lo que el banco no pudo demostrar —porque el propio perito informático no pudo confirmarlo— es que esas recomendaciones de seguridad hubieran sido enviadas a la clienta por correo electrónico, que era justamente el canal a través del cual los estafadores interactuaron con ella.
¿Cuánto cobró la víctima?
La Cámara ordenó a HSBC pagar la suma de $2.244.000, compuesta por:
• Daño material: $1.464.000 — el total sustraído de la cuenta, con intereses desde la fecha del ilícito.
• Daño moral: $780.000 — por la situación de incertidumbre, desamparo y angustia sufrida por la clienta al ver vaciada su cuenta y no recibir solución del banco.
• Pérdida de chance y daño punitivo: rechazados — la primera por falta de sustento concreto en la demanda; el segundo porque la conducta del banco, aunque negligente, no alcanzó el nivel de dolo o culpa grave que ese tipo de sanción exige.
Preguntas frecuentes
¿El banco puede negarse a devolver el dinero si yo di mis claves?
Puede intentarlo, pero la jurisprudencia más reciente señala que dar las claves no exime automáticamente al banco. La entidad debe demostrar que la causa del daño le fue totalmente ajena, lo que incluye probar que sus sistemas detectaron y actuaron frente a la actividad inusual. Si no lo hicieron, responde.
¿Qué hay que hacer de inmediato si te roban dinero por homebanking?
Llamar al banco para bloquear la cuenta, hacer la denuncia penal por estafa, presentar un reclamo formal ante la entidad bancaria por escrito y, si no resuelven, reclamar ante el Banco Central o iniciar acción judicial. Conservá todos los correos, capturas y números de gestión que te den.
¿Vale este fallo para cualquier banco?
Sí. El fundamento es la Ley de Defensa del Consumidor y el Código Civil y Comercial, de aplicación nacional. No depende de qué banco sea ni en qué provincia estés.
¿Puedo reclamar también daño moral?
Sí, en la medida en que puedas acreditar el perjuicio extrapatrimonial sufrido. La Cámara reconoció que perder los ahorros de la cuenta y no recibir respuesta del banco genera una afectación emocional que merece reparación.
¿Te robaron dinero por homebanking?
Analizamos tu caso y te asesoramos sobre las opciones legales para reclamar la devolución de tu dinero.
Herrera & Flamenco Abogados · Córdoba, Argentina