La entidad bancaria BBVA ha tenido que reponer el dinero estafado mediante la técnica del «phishing» a un cliente, unos 2.120 euros, después de que se acreditara que el banco tenía un mecanismo «antiphishing» para proteger a sus usuarios.
Así lo ha decidido Berta Vidal, magistrada del Juzgado de Primera Instancia número 5 de Ferrol, A Coruña, en su sentencia número 128/2023.
La sentencia, consultada por Confilegal, dice que los bancos están obligados a «adoptar una serie de medidas de seguridad y dotarse de mecanismos de supervisión que permitieran detectar operaciones fraudulentas en la prestación de servicios de pago», como lo es el «phishing», que busca que las víctimas faciliten sus datos de acceso a banca electrónica.
Así, suplantan a la entidad para obtener códigos y contraseñas de usuarios que piensan que se comunican con el banco, con los que pueden realizar cargos y transferencias no autorizadas.
David Alfaya Massó, abogado y CEO de Asesority Abogados que llevó el caso, explica que el banco «es el responsable de la seguridad en las operaciones de pago, y la carga probatoria, de tratarse de un caso de negligencia grave del usuario, es de la entidad bancaria».
Así, tiene la obligación de desplegar «todos los mecanismo de seguridad necesario para evitar operaciones de pago sospechosas, igual que si se tratase de prevención de blanqueo de capitales, incluyendo medidas de registro de cuentas sospechosas, bloqueo de transferencias y pagos a dichas cuentas, paralización de pagos duplicados, que superen determinado importe, con un mismo beneficiario, y todo lo que se nos pueda ocurrir para reforzar la seguridad, como en su momento fue la doble verificación, o asociar la IP o el terminal desde el cual se hace el pago».
En esta ocasión, la víctima, Cecilia P., recibió un mensaje de texto en su teléfono móvil que aparecía con un enlace en una línea de comunicación que ya tenía con BBVA, con lo que no sospechó que se tratara de un delincuente. Siguiendo las instrucciones del mensaje, siguió el enlace con la intención de cancelar una supuesta operación que parecía haber sido aceptada y que no reconocía.
Después, se realizaron dos cargos fraudulentos en una de sus tarjetas de 500 y 460 euros, respectivamente, así como dos de 490 euros y una de 180 en otra tarjeta, llegando a un total de 2.120 euros defraudados, la cifra de la indemnización impuesta sin contar los intereses legales desde la presentación de la primera reclamación extrajudicial frente al banco.
Cómo evitarlo
El artículo 44 del Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera, reza: «Cuando un usuario de servicios de pago niegue haber autorizado una operación de pago ya ejecutada o alegue que ésta se ejecutó de manera incorrecta, corresponderá al proveedor de servicios de pago demostrar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio prestado por el proveedor de servicios de pago».
Por ello, se exigen sistemas de autenticación reforzada, y reproduce un sistema similar de responsabilidad a cargo del proveedor del servicio, que solo cede en caso de actuación fraudulenta o del incumplimiento, deliberado o por negligencia grave».
Al respecto, Alfaya dice que «la responsabilidad es del banco al 100 %, siempre que no sea capaz de probar que se trata de una negligencia grave del cliente, algo que no ocurre habitualmente ya que la técnicas utilizadas van cambiando y cualquiera puede ser víctima de una estafa», especialmente dada la rápida evolución de estas técnicas.
«Los bancos no se están tomando en serio el phishing, y aunque poco a poco van tomando medidas, estas son insuficientes y van muy por detrás de los estafadores», critica. «Cada vez surgen nuevos casos con técnicas diferentes, y, lo peor de todo, se detectan casos asociados a plataformas de venta en Internet como Wallapop, Vitend, Booking».
