El juez encontró que PSG Wealth Financial Planning no había cumplido con su propia política para proteger a los clientes contra el ciberdelito
Por Tania Broughton.
Este artículo apareció por primera vez en Molido.
- Se ordenó a PSG Wealth Financial Planning que pague a un cliente más de R800,000 robados por estafadores a través del ciberdelito por correo electrónico.
- Los estafadores habían pirateado el correo electrónico de un cliente y solicitaron por correo electrónico que las acciones de inversión del cliente y parte de la inversión de su esposa se pagaran a una nueva cuenta bancaria.
- PSG argumentó que si bien tenía el deber de proteger el dinero del cliente, no podía ser responsable de las pérdidas en circunstancias en las que el cliente había sido pirateado.
- Pero el juez encontró que el PSG no había cumplido con su propia política para proteger a sus clientes del cibercrimen.
El Tribunal Superior de Johannesburgo ha ordenado una empresa de servicios financieros para pagar a un cliente más de R800,000 robados por estafadores a través del cibercrimen por correo electrónico.
La jueza Denise Fisher falló a favor de Jan Jacobus Gerber, quien demandó a PSG Wealth por la pérdida que sufrió debido a la transferencia electrónica ilegal de dinero destinado a su jubilación que había invertido con la empresa.
El juez Fisher dijo que se había convertido en una rutina que los negocios se realizaran por correo electrónico y ahora se había vuelto común que los estafadores accedieran a estos correos electrónicos de forma remota. Ella dijo que el compromiso de correo electrónico comercial (BEC) se había vuelto común y que ambas partes habían sido víctimas del fraude.
“La pregunta es quién debe asumir las pérdidas”, dijo.
El juez Fisher dijo que Gerber tenía una cartera de acciones que había sido administrada por el PSG, a través de su representante Jonathan Fisher, durante más de una década.
Gerber tenía una cartera de acciones y efectivo con inversiones por un total de R855,413 a septiembre de 2019. Esto podría liquidarse y pagarse a pedido de Gerber.
El juez dijo que el contacto entre Fisher y Gerber era raro. Las transacciones implicaron no más que un estado de cuenta mensual, que detallaba la actividad de su cuenta, enviado por correo electrónico a Gerber.
Luego, en octubre de 2019, hubo una «solicitud algo inusual» cuando Fisher recibió un correo electrónico, supuestamente de Gerber, solicitando liquidar R250,000. El correo electrónico también proporcionó detalles de una nueva cuenta bancaria con FNB.
Fisher respondió por correo electrónico, solicitando la confirmación de la nueva cuenta. Se envió un correo electrónico que contenía una carta, aparentemente de FNB, que parecía tener un sello bancario oficial y reflejaba que la cuenta se había abierto en 2002.
El juez Fisher dijo que las sucursales del PSG funcionaban con un sistema de franquicia y, como parte de ese acuerdo, tenían acceso a un servicio central de atención al cliente que podía verificar los detalles de la cuenta bancaria. Los detalles de la cuenta FNB fueron enviados para su verificación. El informe regresó de que la identidad adjunta a la cuenta de FNB no coincidía con los detalles de Gerber. Demostró que, de hecho, la cuenta solo se había abierto menos de tres meses antes, y que el número de teléfono y la dirección de correo electrónico no eran válidos.
Sin embargo, Fisher dijo que estos informes de verificación a menudo no eran confiables. Su asistente personal, Jocelyn van Stavel, le envió un correo electrónico a Gerber para confirmar que esta era su cuenta.
“Como era de esperar, llegó la respuesta del correo electrónico secuestrado de que el pago debería hacerse”, dijo el juez Fisher.
Cuando Van Stavel hizo una llamada de «cortesía» a Gerber para informarle que se había pagado el dinero, Gerber había estado conduciendo y respondió ‘así’ (‘está bien’), aunque no sabía a qué se refería.
Un segundo correo electrónico del pirata informático pronto siguió pidiendo más dinero, que se pagó, eliminando efectivamente la inversión de Gerber.
El juez Fisher dijo que el hacker envalentonado fue alertado por Van Stavel de que la esposa de Gerber también tenía una cuenta de inversión. Luego, el pirata informático solicitó R400,000 de la cuenta de su esposa. Pero cuando llegó ese correo electrónico, Van Stavel testificó que «algo no se veía bien».
Fisher luego contactó a sus clientes, quienes confirmaron que no habían pedido retirar ningún fondo.
Una investigación posterior reveló que el correo electrónico de Gerber había sido pirateado y todos los correos electrónicos hacia y desde el PSG se desviaron a un archivo separado que no aparecía en su bandeja de entrada ni en su bandeja de salida.
El PSG argumentó que si bien tenía el deber de proteger el dinero de Gerber, no podía ser responsable de las pérdidas en circunstancias en las que su sistema informático había sido pirateado. Este era un «término tácito» del acuerdo, dijo.
Pero el juez Fisher dijo que importar ese término sería contrario a la intuición. “La protección contra el fraude tecnológico no tendría sentido si el cliente tuviera que asumir la obligación de prevenir el hackeo. Después de todo, [PSG] se paga generosamente por los servicios prestados, incluida la provisión de protección contra fraudes”, dijo.
“No hay pruebas de que [Gerber] hizo algo o dejó de hacer algo para proteger su sistema de ser pirateado. Testificó que su sistema estaba protegido con contraseña y que tenía instalada una protección antivirus eficaz. Esto no fue cuestionado”.
El juez Fisher dijo que los contratos dictaban que las instrucciones debían darse por correo electrónico y «posiblemente [PSG] asumió así el riesgo de emplear este sistema de comunicación”.
El juez dijo que la llamada a Gerber había sido una “llamada de cortesía”, no una en busca de confirmación de que el dinero se depositaría en otra cuenta bancaria.
PSG no había establecido que cumplió con sus obligaciones contractuales para proteger a Gerber contra el ciberdelito, dijo. El juez Fisher ordenó al PSG pagar a Gerber R811.488,98, más intereses y costas de la demanda.