El phishing, como indica el Instituto Nacional de Ciberseguridad (INCIBE), es una modalidad de fraude. Se lleva a cabo mediante el envío de un correo o SMS por parte de un ciberdelincuente a un usuario simulando ser una entidad legítima. El objetivo es robarle información privada, realizarle un cargo económico o infectar el dispositivo.
Los bancos tienen una serie de responsabilidades que cumplir para poder proteger a sus clientes de estos engaños. En caso de no llevar a cabo esas exigencias, pueden verse las caras con la Justicia. Como le ha ocurrido a ING.
La titular del Juzgado de Primera Instancia e Instrucción Nº1 de Sant Feliu de Llobregat, María Luz Barreiro, le ha condenado a pagar 9.499 euros a una clienta por no protegerla del fraude.
Según se explica en la sentencia 202/2024 de 5 de septiembre, la mujer tenía con ING una tarjeta de crédito vinculada a su cuenta corriente. Pero a principios de año recibió un SMS fraudulento que se hacía pasar por la entidad financiera. En él le explicaban que su cuenta había sido bloqueada y le animaban a pinchar en un link.
Una estafa a través de un SMS
Tras hacerlo, la clienta recibió una llamada de una persona que decía ser agente de ING. Le comentó que se habían llevado a cabo cargos en su tarjeta y que, para anularlos, debía hacer una operación interna a través de la aplicación.
Al facilitarle el código le retiraron de su cuenta 9.499 euros, siendo víctima de «phishing». De modo que, de la mano de Unive Abogados, acudieron a la Justicia solicitando una indemnización por perjuicios al considerar que ING había actuado de forma negligente.
El banco, por su parte, quiso quitarse las culpas. En la contestación de la demanda explicó que la clienta había sido la responsable al haber incumplido los deberes de custodia de sus claves personales y secretas.
La jueza hizo un repaso de la Ley de Servicios de Pago. Pues su finalidad es regular los derechos y obligaciones tanto de los usuarios de los servicios de pago como de sus proveedores.
En ella se explica que el proveedor de servicios, en los casos en los que se haya denunciado la deficiencia del mismo, debe demostrar la autenticación de la operación y la inexistencia del fallo. «Igualmente le impele a devolver de modo inmediato las cantidades retiradas mediante una operación no autorizada».
ING no implementó las medidas necesarias
Pues bien, en el presente supuesto la entidad bancaria «no estableció un doble sistema de control de autenticación de la identidad de quién realizaba la operación», detalla la sentencia.
Además, ING era, de acuerdo con la ley, la que tenía que demostrar que la clienta actuó de forma fraudulenta. Tampoco adoptó las medidas de seguridad precisas para evitar o minorar las consecuencias para el usuario de haber sufrido un fraude en red.
Desde Unive Abogados creen que este fallo sienta un precedente crucial en la protección de los consumidores contra fraudes electrónicos. «Además, refuerza la responsabilidad de las entidades bancarias para garantizar la seguridad de sus clientes a través de mecanismos de autenticación robustos».
