Isabel Desviat.- Las estafas bancarias a través del método denominado phising están a la orden del día. Con este sistema, logran, a través de internet, los datos privados de los usuarios, especialmente para acceder a sus cuentas o datos bancarios y así retirar fraudulentamente a través de la banca electrónica cantidades depositadas en las cuentas corrientes de la persona estafada.
Estas situaciones generan finalmente litigios judiciales entre banco y cliente, pues éste lógicamente considera que el banco debe devolverle el dinero estafado al ser responsable de la seguridad, mientras que las entidades financieras suelen negarse a ello achacando a la víctima la culpa de lo ocurrido, por dar sus claves y datos de usuario a los estafadores, y no ser suficientemente cuidadosos.
Los juzgados, en estos casos, examinan si ocurrió o no negligencia grave del cliente en su deber de custodia de sus credenciales de seguridad, pues si así se demuestra, la entidad bancaria no sería en absoluto responsable. Las concretas circunstancias del caso y la prueba practicada, teniendo en cuenta las especiales características del phising, serán determinantes para declarar o no la responsabilidad contractual del banco en lo ocurrido.
Esta sentencia dictada el pasado 3 de julio por un juzgado de primera instancia de Ferrol (LA LEY 184893/2023), examina un caso de phising y finalmente es condenado a devolver a la clienta todo el dinero estafado, que ascendió a la cantidad de 2.120 euros, más los intereses legales y las costas causadas.
El inicio habitual: Envío de SMS fraudulento
La estafa comenzó, como es habitual en estos casos, con la recepción de un SMS en el teléfono móvil de la clienta, que supuestamente provenía del BBVA, su banco, donde se le avisaba que se aceptaba un cargo, y que si no era reconocido por ella, que pinchara en el enlace adjunto. Así lo hizo la clienta, entrando en una página que simulaba ser la banca electrónica del BBVA. Obviamente, puso su usuario y contraseña (En este momento el estafador ya se había apropiado de su login). Tras ello en días sucesivos recibió mensajes donde se le indicaba se había iniciado sesión desde otros dispositivos. Además, recibió una llamada telefónica de alguien que dijo ser responsable de seguridad del banco, instándole a que desinstalara la aplicación de la banca electrónica. Al hacerlo así, facilitó al estafador la sustracción de dinero de su cuenta.
¿Es responsable el Banco de la sustracción del dinero?
Para responder a esta pregunta, lo esencial determinar si hubo o no negligencia de la clienta en su obligación de custodia de sus credenciales, pues si es así, nada podría reclamarle al banco y tendría que soportar las consecuencias derivadas.
El juzgado analiza la legislación aplicable, y sobre todo la jurisprudencia existente sobre esta misma cuestión, y llega a la conclusión de que estas prácticas denominadas phising, hacen necesario aumentar las medidas de seguridad necesarias; es decir no son suficientes medidas genéricas de protección, o avisos estereotipados de cuidado, la entidad deberá aplicar medidas tecnológicas avanzadas para garantizar la integridad y confidencialidad de los datos.
Valorando las circunstancias concretas, no aprecia negligencia de la clienta: recibió un mensaje por el mismo canal por el que habitualmente recibe las comunicaciones de su banco; no es una persona experta y no era fácil detectar que el mensaje era fraudulento o que la web era falsa. Por tanto, continúa razonando el juzgado, el deber de diligencia de la entidad financiera era dotarse de la tecnología antiphising necesaria para detectar las páginas clonadas, por ejemplo cerrándolas o eliminándolas, lo que no ha acreditado.
Además, para completar el fraude no era suficiente que la clienta pinchase en el enlace, sino que el delincuente necesitaba los códigos que se envían al móvil registrado, y tampoco se ha acreditado que la víctima estafada proporcionase esos códigos a la persona que le llamó por teléfono.
Aunque el banco alegaba que la clienta, al haber facilitado sus datos propició que el estafador entrara en su banca electrónica y modificara el número de móvil y correo para comunicaciones y así recibir cualquier código de autenticación, lo cierto es que la responsabilidad recae igualmente en la entidad financiera, pues siendo tan habituales estas estafas, debería adoptar mayores garantías para evitar otra persona sin autorización del titular de la cuenta cambiara dichos datos, por ejemplo exigiendo que la modificación se realizara solo de forma presencial en las oficinas de la entidad.
Por tanto, la demanda de la clienta es estimada y el banco condenado a abonarle la cantidad estafada más los intereses legales, además de condenarle al pago de las costas causadas.