Condenado un banco a devolver a una clienta los casi 6.000 euros que le fueron estafados mediante ‘phishing’ 
Tendrá que abonarle esta cantidad por los daños y perjuicios sufridos.

Condenado un banco a devolver a una clienta los casi 6.000 euros que le fueron estafados mediante ‘phishing’ 

Por fallos en su sistema de seguridad informática
|
27/7/2023 06:31
|
Actualizado: 27/7/2023 09:23
|

El Juzgado de Primera Instancia e Instrucción número 1 de Moncada (Valencia) ha condenado a un banco a devolver a una clienta 5.895 euros que le estafaron unos piratas informáticos en su cuenta bancaria mediante el método del fraude denominado ‘phishing’.

Le fueron cargados en su cuenta bancaria pagos por dicha cuantía, que la entidad financiera tendrá que abonarle por los daños y perjuicios sufridos.

Esta mujer recibió un mensaje de correo electrónico que aparentemente procedía del banco, en el que solicitaban sus datos personales y claves de acceso. Tras aportar dichos datos, se produjeron los cargos fraudulentos a través de dos compras con su tarjeta de débito en una Apple Store de Barcelona.

La entidad bancaria, que es el Banco Santander, argumentaba que actuó correctamente en el ejercicio de la prestación de los servicios de pago y que la operación “no fue afectada por ningún fallo técnico o intrusión indebida en su sistema, sino que fue autenticada la propia tarjeta de débito, con todos los requisitos de acreditación establecidos”. 

Alegaba que fue la “conducta culposa” de la clienta la que permitió el pago, al facilitar el acceso a sus datos. Es decir, que los cargos fraudulentos se habrían realizado por responsabilidad exclusiva de la clienta, “al no haber actuado con la diligencia adecuada”.

Sin embargo, el magistrado Joaquim Bosch Grau, titular del Juzgado, ha estimado la demanda presentada por la afectada y ha declarado la responsabilidad del Banco Santander, por incumplimiento del contrato de cuenta bancaria. 

La sentencia está fechada a 31 de mayo, es el procedimiento ordinario 848/21, e impone también las costas al banco. 

El caso lo ha llevado la abogada María Desamparados Gramage Sanmartín, con despacho propio en Valencia. Le fue asignado a través del turno de oficio, servicio voluntario prestado a los los ciudadanos que solicitan asistencia jurídica gratuita.

«LA SENTENCIA ES CONTUNDENTE Y SE HA HECHO JUSTICIA CON UNA PRÁCTICA, POR DESGRACIA, BASTANTE HABITUAL», SEÑALA LA ABOGADA

La letrada celebra esta sentencia, en la que el magistrado “ha sido contundente” y “al final, se ha hecho Justicia con una práctica, por desgracia, bastante habitual en la actualidad”.

En la demanda alegó que se habían producido fallos en el sistema de seguridad informática del banco. 

Según explica, por los propios movimientos en la cuenta bancaria de la afectada “ya se veía claramente que era imposible que ella hubiera podido operar de esta manera”. 

Critica “la negativa del banco a poder solucionar este caso en las reclamaciones previas que le habían realizado”. “Ha querido alargar el asumir su responsabilidad para ver si por el camino la clienta desistía”, lamenta María Desamparados Gramaje.

Esta abogada afirma que ante esta situación, los clientes se sienten “doblemente estafados”, porque les saquean las cuentas y su propia entidad les deja tirados y les culpabiliza de la estafa.

EL BANCO NO HA PROBADO QUE SU CLIENTA HAYA ACTUADO DE MANERA FRAUDULENTA O CON NEGLIGENCIA GRAVE

En este caso, el banco no ha probado que la demandante haya actuado de manera fraudulenta o con negligencia grave, explica el juzgador. 

“Se ha limitado a manifestar que la demandante no fue diligente al facilitar sus datos a los autores del engaño delictivo. Sin embargo, no podemos olvidar que, para trasladar al cliente los efectos del riesgo de estos cargos fraudulentos, la ley no exige la concurrencia de una culpa leve o de tipo medio; al contrario, nuestra legislación indica que la negligencia debe ser grave. Y en este caso no puede calificarse como grave la falta de diligencia de la actora”, precisa.

El magistrado Joaquim Bosch, titular del Juzgado de Primera Instancia e Instrucción número 1 de Moncada (Valencia), quien ha dictado esta sentencia. Entre mayo de 2012 y junio de 2016 fue portavoz nacional de la asociación judicial Juezas y Jueces para la Democracia.

El magistrado pone de manifiesto que en estos supuestos de ‘phishing’ nos encontramos ante “conductas delictivas muy elaboradas, a menudo perpetradas por profesionales del engaño, que simulan con precisión los formatos auténticos de las entidades bancarias e inducen a error con cierta facilidad”, y que las dificultades para la detección del fraude por parte de los usuarios, se evidencian ante “la multitud de procedimientos penales que se tramitan en nuestros órganos judiciales por estafas de este tipo”. 

Por ello, según expone, el legislador no ha querido trasladar a los usuarios la carga de atribuirles la responsabilidad por estas operaciones no autorizadas y de exigirles que procedan con un cuidado extremo, ante su carencia de medios para detectar estos fraudes. 

LAS ENTIDADES FINANCIERAS “DEBEN CONTAR CON INSTRUMENTOS ADECUADOS PARA LA DETECCIÓN DE LAS ACTUACIONES FRAUDULENTAS” 

Joaquim Bosch subraya que en cambio, son las entidades bancarias las que se benefician por la introducción de las mejoras tecnológicas y las que “deben contar con instrumentos adecuados para la detección de las actuaciones fraudulentas”. 

En consecuencia, “la ley ha optado por un sistema de responsabilidad cuasi objetiva, que atribuye a las entidades bancarias el deber de restitución ante operaciones no aceptadas, con la excepción de conductas de los usuarios que sean maliciosas o gravemente negligentes”, expone.

Dichas razones llevan al magistrado a concluir que la conducta de la demandante no puede suponer una negligencia grave. 

Explica que, como señaló en un caso similar la sentencia de la Audiencia Provincial de Madrid de 13 de enero de 2023, “no podemos calificar la posible negligencia de la demandante en la conservación de sus claves como ‘grave’ en ningún caso”, y “estamos ante un tipo de fraude muy específico del que es fácil ser víctima, sin que ello implique una actuación negligente del cliente, dado lo bien articulada en su ejecución que está esta modalidad de fraude”.

En el caso analizado, Bosch dictamina que no ha quedado acreditado que la entidad bancaria haya actuado con una diligencia adecuada a las circunstancias del caso: “No se ha alegado ni mucho menos probado” que el Santander hubiera proporcionado a la demandante de forma personalizada los mecanismos anti-phishing de supervisión “suficientes, de carácter reforzado, para detectar y evitar este tipo de fraude, sin que puedan resultar suficientes los avisos de carácter genérico de la web del banco”. 

El magistrado comparte las reflexiones de la sentencia de la Audiencia Provincial de la Rioja de 17 de febrero de 2023, que dice: “El banco debe actuar con la diligencia exigible, que no es sólo la reglamentariamente prevista, sino la adecuada a las circunstancias de personas, lugar y tiempo”, y que entre estas, “cobran especial relevancia datos tales como el perfil del cliente, los movimientos inusuales, los importes dispuestos, la hora en que se hace la operación, etc.”. 

Dicha sentencia añade que no basta con medidas genéricas de protección o avisos estereotipados de cuidado, pues tales avisos ostentarían la calificación de «formulas predispuestas», vacías de contenido. Asimismo, deja claro que “no son los clientes los que deben prevenir ni averiguar las modalidades de riesgos que el sistema conlleva, o estar al tanto de los mismos, ni prevenir con su asesoramiento experto dichos riesgos”. 

SISTEMAS DE CONTROL ANTE MOVIMIENTOS INUSUALES O CARGOS QUE SE SALGAN DE LO HABITUAL

El titular del Juzgado de Primera Instancia e Instrucción número 1 de Moncada sostiene que “este deber especial de diligencia que cabe atribuir a la entidad bancaria habría de llevarle también a diseñar sistemas de control ante movimientos inusuales o ante cargos que se salgan de lo habitual”. 

En este caso, en el contexto del engaño fraudulento, se produjo una modificación del límite máximo de seguridad diario establecido en el contrato de tarjeta de crédito, “sin que la entidad bancaria efectuara las comprobaciones que confirmaran que era su cliente la que había llevado a cabo esa variación contractual tan relevante”, concluye el magistrado. 

La entidad demandada “se ha apartado de los buenos usos y prácticas financieras, al no haber restituido a su cliente la cuantía de la operación no autorizada”, declaró el Banco de España

Apunta que precisamente esta circunstancia es la que lleva al Banco de España a emitir el informe aportado en la demanda, en el que se indica que “la mercantil demandada se ha apartado de los buenos usos y prácticas financieras, al no haber restituido a su cliente la cuantía de la operación no autorizada”. 

Al quedar acreditados los hechos alegados por la demandante y al no quedar probada la concurrencia de negligencia grave en su conducta, Bosch estima la demanda.

El banco, según ha podido saber Confilegal, ha pagado a la demandante la cantidad reclamada junto con los intereses legales. Además, no ha recurrido la sentencia, por lo que el Juzgado ha declarado su firmeza, de lo que se deduce la conformidad de la entidad financiera con la misma.

LA LEGISLACIÓN APLICABLE A ESTOS CASOS

El magistrado señala en la sentencia que la legislación aplicable establece en estos supuestos una responsabilidad cuasi objetiva para la entidad bancaria, “de la que solo puede eximirse si acredita la concurrencia de actuación fraudulenta o culpa grave del cliente”. En este sentido, cita las sentencias de la Audiencia Provincial de Badajoz de 7 de febrero de 2013; de Alicante de 12 de marzo de 2018; de Madrid de 13 de enero de 2023 o de La Rioja de 17 de febrero de 2023, entre otras. 

Dicha interpretación se desprende de lo establecido en el Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera, el cual indica en su artículo 36.1 que las operaciones de pago se considerarán autorizadas “cuando el ordenante haya dado el consentimiento para su ejecución”. 

También recoge este precepto que a falta de este consentimiento, “la operación de pago se considerará no autorizada”. 

Además, el magistrado indica que el artículo 44 establece una presunción de falta de autorización cuando es negada por el usuario. 

Por otro lado, señala que de los artículos 45 y 46 de la ley se desprende que, en el caso de que se ejecute una operación de pago no autorizada, el proveedor de servicios de pago deberá devolver al cliente el importe de la misma, salvo que este último haya actuado de manera fraudulenta o con negligencia grave. Si concurriera este último supuesto, el cliente “soportará todas las pérdidas derivadas de operaciones de pago no autorizadas”.

Y en virtud del artículo 44.3 del mismo texto legal, en referencia a la carga de la prueba, en estos casos corresponde a la entidad bancaria “probar que el usuario del servicio de pago cometió fraude o negligencia grave”.

Noticias Relacionadas:
Lo último en Tribunales