Icono del sitio Cuarto Poder

BCRA: Empresas de posnets son responsables si te vacían la cuenta

La falta de 2FA viola normas del Banco Central y deja a miles de pymes expuestas a estafas. Qué dice la ley argentina y cómo reclamar.

 

Don Veronelli

 

A una comerciante salteña le vaciaron en una noche la cuenta de Pago24 donde acumulaba las ventas del posnet. El problema: la app y su dispositivo no tienen doble factor de autenticación, 2FA. El caso expone un agujero de seguridad que afecta a miles de usuarios de billeteras y posnets en la provincia.

¿De quién es la culpa

si te roban la recaudación?

Según la normativa vigente, la responsabilidad es del proveedor del servicio. El Banco Central, a través de las Comunicaciones A 7328 y A 7783, obliga a todas las fintech y agregadores de pago a implementar “medidas reforzadas de seguridad”. La ausencia de 2FA, token o biometría es un incumplimiento directo.

“Si la empresa no te da herramientas básicas para proteger tu cuenta, no puede alegar que fue culpa del usuario. Es una falla de seguridad del servicio”, explica la Ley 24.240 de Defensa del Consumidor en su artículo 40. Por eso, empresas como Pago24, MercadoPago o Fiserv deben responder si un tercero accede y retira fondos sin autorización.

La Ley 25.065 de Tarjetas de Crédito refuerza esto: el usuario tiene 30 días para desconocer consumos o retiros que no realizó. Además, la Comunicación A 7.917 del BCRA establece que el dinero de las ventas no pertenece al agregador. Debe estar en cuentas separadas y liquidarse al comercio en un día hábil. Si la plata es robada mientras está bajo custodia de Pago24, la firma debe hacerse cargo.

El caso que destapó el problema

El hecho ocurrió esta semana, cuando una emprendedora detectó que su cuenta de Pago24 estaba en cero. Los movimientos mostraban transferencias a un CBU desconocido. Al revisar la app, confirmó que no existe opción para activar 2FA ni alertas de inicio de sesión.

Desde Defensa del Consumidor advierten que este patrón se repite. “Recibimos reclamos de comercios que usan posnets de distintas marcas. Cuando la app no tiene doble factor, el proveedor pierde el 100% de los casos en audiencia”, señaló una fuente del organismo.

La Resolución 87/2024 también juega a favor del comercio. Establece que el cliente nunca debe perder control de su tarjeta y que los posnets deben ser seguros. Un dispositivo vulnerable a clonación o hackeo viola la norma y genera responsabilidad solidaria entre el comercio y la procesadora.

Cómo actuar si te pasa

1) *Bloqueo y denuncia inmediata*: Llamar al 0800 de la empresa para bloquear cuenta y posnet. Hacer la denuncia penal por “defraudación informática” en comisaría o fiscalía. Es clave para que el reclamo avance.

2) *Desconocer los movimientos*: Por ley, el usuario puede rechazar débitos no reconocidos dentro de los 30 días. El reclamo se inicia en la app o por mail a soporte. La empresa debe asignar un número de caso.

3) *Escalar a organismos*: Si la empresa no devuelve el dinero en 10 días hábiles, corresponde reclamar en Defensa del Consumidor, que es gratuito, y en el BCRA. Ambos organismos pueden multar a la firma hasta $5.000.000 y forzar la devolución con intereses.

El BCRA ya sancionó a varias fintech durante 2024 y 2025 por fallas de seguridad. La falta de 2FA es uno de los motivos más frecuentes.

El vacío que el BCRA debe cerrar

Especialistas en ciberseguridad consultados coinciden: “En 2026 es inadmisible que una app que maneja recaudación de comercios no tenga 2FA obligatorio. Es como un banco sin clave token”.

Mientras el Banco Central no fuerce la implementación generalizada, la recomendación para comerciantes es revisar qué medidas ofrece su proveedor. Si la app no permite doble autenticación, el riesgo lo asume la empresa, pero el dolor de cabeza y la pérdida de tiempo lo sufre el usuario.

Para la comerciante ahora empieza el camino del reclamo. Con la ley de su lado, pero con la cuenta en cero.

Salir de la versión móvil