Sentencia obliga a banco a indemnizar por fraude de phishing

Cada vez son más frecuentes los ataques por ciberdelincuentes a los clientes de entidades bancarias, que ven con impotencia como son víctimas de la modalidad delictiva conocida como phising sin obtener una rápida solución por parte de su banco.

En este contexto, me ha parecido interesante una reciente Sentencia de la Audiencia Provincial de Cantabria que condena a la entidad bancaria a indemnizar a una clienta que fue víctima de phishing y que vió cómo se realizaron reintegros en cajero, traspasos entre cuentas, transferencias y un aumento del límite disponible en sus tarjetas de crédito, considerando relevante la Audiencia el hecho de que el banco, a pesar del gran número de operaciones realizadas con las claves o credenciales de la actora en solo dos días”, “no tuviese capacidad para detectar que su cliente podía estar siendo víctima de un fraude informático”.

Dando un paso más allá, declara esta Sentencia que ello evidencia que la entidad bancaria no había implementado todas las medidas o mecanismos necesarios para proteger a su cliente de tales ataques por ciberdelicuentes, cada vez más frecuentes.

En particular, en el caso enjuiciado, la víctima recibió en su teléfono móvil un mensaje, aparentemente de su entidad bancaria, en el que se le requería pulsar un enlace para recibir una transferencia a su favor, procediendo la perjudicada a pulsar ese enlace, recibiendo posteriormente en seis minutos tres mensajes que le requerían introducir un código para las operaciones que, según se le informaba, estaba realizando.

Así, con el uso de las credenciales de la mujer, en un periodo de tan solo dos días, se realizaron, entre otras operaciones, veinticinco reintegros, aumentos del crédito disponible en tarjetas de crédito y órdenes de traspaso. Fruto de ello, la mujer sufrió un perjuicio de 23.000 euros y su abuela, titular de una de las cuentas afectadas, de 2.000 euros.

Una vez que la clienta detecta estos hechos, reclamó sin éxito el dinero a la entidad, que reconoció la existencia del fraude pero declinó indemnizarla alegando negligencia por su parte.

En definitiva, el banco imputa a la propia clienta el fraude sufrido, porque pinchó el enlace recibido “sin pensar, a pesar de que en el contrato digital firmado se le advertía expresamente de que el Banco no solicitaría código de usuario, PIN o tarjeta de coordenadas por ninguna vía.

Entendió la entidad bancaria que su clienta actuó “de modo negligente, puesto que no recibió un solo mensaje sino cuatro, claramente burdos”.

No le quedó más remedio a la perjudicada que instar una reclamación judicial en la que se reconoce por el Juzgado de Primera instancia que la entidad bancaria debe indemnizar a la perjudicada, reintegrándole los 25.000 euros, pues está claro que el origen de las operaciones se encuentre en una actuación fraudulenta y que el defraudador obtuvo previamente los datos necesarios para la comisión del fraude a través de phishing.

Dicha Sentencia fue recurrida por la entidad bancaria ante la Audiencia Provincial que volvió a resolver en favor de la perjudicada, argumentando y razonando que “salvo actuación fraudulenta, incumplimiento deliberado o negligencia grave del usuario, la responsabilidad será del proveedor del servicio de pago”, por tanto, de la entidad bancaria, aclarando que “no cabe concluir que la actora, a pesar de haber pinchado el enlace recibido inicialmente e introducido los códigos solicitados posteriormente, haya incurrido en negligencia grave”.

Además, si se atiende al funcionamiento de esta modalidad de estafa informática, es claro y meridiano que “producido el ataque el usuario pierde todo control de sus credenciales”, “situación en la que –como afirma el Tribunal-no puede imputársele negligencia alguna, ni siquiera inicialmente”.

Lo cierto es que con los argumentos contenidos en esta Sentencia, gana fuerza la prosperabilidad de las reclamaciones que se formalizan ante las entidades bancarias por víctimas de esta modalidad de estaba informática, ya que la respuesta de los bancos a estas reclamaciones suele ser negativa al reintegro de las cantidades defraudadas, limitándose tan solo a dar consejos sobre seguridad para no volver a ser víctima de tales conductas.

Sin duda, que las entidades bancarias tendrán que ser más diligentes a la hora de establecer mecanismos fuertes para proteger a sus clientes y, por ende, a sí mismos.

Carolina Ruiz

Abogada de MONLEX

cruiz@monlexabogados.es