Jornada de Ciberseguridad y Sociedad 2023
Fecha de la jornada: 6 de octubre de 2023
Conferencia de cierre: «Cuando la víctima colabora con el delincuente»
Marcelo Germán Gelcich. Abogado especialista invitado.
Resumen.
Los canales electrónicos que se utilizan para transacciones comerciales y financieras hoy ofrecen grandes posibilidades para mejorar la economía, al tiempo que representan riesgos muy importantes. El aumento de los delitos de estafas o fraudes digitales es una muestra de lo segundo.
Los sistemas de ciberseguridad de las empresas se enfocan en proteger los activos más importantes frente a las amenazas más poderosas: ej. ramsonwares, mientras que la protección del consumidor suele ocupar los últimos puestos en el ranking de prioridades. Lo mismo ocurre con la capacitación de usuarios: se privilegia a los usuarios internos de la organización, mientras que, con el usuario externo se realizan campañas genéricas de difusión, sin segmentación ni aspiraciones de comunicación efectiva.
Los sistemas de validación de identidad suelen ser robustos, sin embargo, las malas prácticas de los usuarios son las que los exponen a los más graves riesgos, los cuales hoy son conocidos y, en su mayoría, puede ser neutralizados. La ley prevé un reparto de riesgos para el caso: el uso de la firma electrónica (la más difundida por su ductilidad) expone a la empresa a tener que probar que la persona de su cliente fue la que operó el usuario electrónico cuando éste desconoce la firma electrónica que se le asigna, según la Ley de Firma Digital art. 5 (Ley 25.506).
En este escenario, ante ciberincidentes que causan daños a usuarios financieros digitales, las empresas deben responder ante los usuarios conforme la responsabilidad objetiva de seguridad (deber de resultado) dado que la actividad comercial/financiera en la web resulta riesgosa (un riesgo mayor a la actividad comercial no virtual1) y siendo que se obtiene un provecho de la misma, no siendo justo trasladar los riesgos y retener los beneficios.2
Por su parte, los diseñadores de sitios web deben estar conscientes que, mientras que en la realidad no virtual, las leyes de causalidad suelen ser las de la física, en los ecosistemas digitales son los desarrolladores los “creadores de causalidad”, es decir, que son quienes asignan las consecuencias a los hechos que ocurren en la web, lo cual puede representar una causa específica de responsabilidad civil (en la medida del aporte de “causalidad adecuada”): para la empresa titular del servicio tanto como para el diseñador.
Se recomienda a los usuarios perjudicados analizar los elementos del caso a la luz de las obligaciones legales del proveedor (ej. requisitos mínimos de seguridad del BCRA), los estándares regulatorios de la actividad en la web (ej. Ley 25.506) y los deberes del proveedor de diligencia especial en la prevención del daño.
A los proveedores de servicios financieros en la web, se les recomienda una comunicación fluida con cada usuario, que permita perfilarlo y acotar los niveles de riesgos a los que se lo expone, evitando exposiciones de riesgos innecesarias, y, además, tener procedimientos adecuados para dar cuenta de una actuación diligente frente a ciberincidentes, de modo que se pueda probar en juicio que el riesgo presentado en cada caso no estaba comprendido en el ámbito de previsión de ocurrencia o actuación posible
1 Resolución Nº 310/2020 de la Secretaría de Comercio Interior de la Nación incorpora al ordenamiento jurídico nacional la Resolución Nro. 36 de fecha 15 de julio de 2019 del Grupo Mercado Común del Mercado Común del Sur (MERCOSUR), Art. 1 inc. 14
2 Cfr. “Mosca, Hugo Arnaldo c/ Provincia de Buenos Aires (Policía Bonaerense) y otros s/ daños y perjuicios”, CSJN, 6/3/07 y Código Civil y Comercial arts. 1107-1736-1758, 1710-1725, 1722-1736)