Estafas a clientes que acaban pagando los bancos: «phising» y «spoofing» que llevan a Bankinter y Unicaja a los tribunales
Los tribunales han establecido la responsabilidad de los bancos ante casos de phising o spoofing por no tener herramientas de detección. Foto: Confilegal

Estafas a clientes que acaban pagando los bancos: «phising» y «spoofing» que llevan a Bankinter y Unicaja a los tribunales

|
22/11/2024 05:35
|
Actualizado: 22/11/2024 10:38
|

Los tribunales han condenado a bancos como Bankinter o Unicaja por no «proteger» a sus clientes frente a estafas de phising o spoofing. Sentencias en las que los tribunales establecen la responsabilidad de las entidades bancarias. No sólo a la hora de informar sobre esta situación a sus clientes, sino también de cara a establecer de forma interna mecanismos de detección ante estas actividades ilícitas.

Cada vez son más los ciudadanos que optan por realizar sus gestiones «online» en su día a día. Citas con el médico, revisar los movimientos bancarios o hacer compras. Internet ha llegado para quedarse.

Sin embargo, estas prácticas digitales también suponen un aumento de los riesgos a los que se exponen los clientes y comercios. Así pues, pocos son los que, a estas alturas, han podido evitar ser víctimas de estafas a través de Internet.

Estafas que cada vez proliferan más. Y cuentan con nombres cada vez más específicos: phishing, smishing, vishing y spoofing. Todas ellas, destinadas detectar las vulnerabilidades de clientes y sistemas, con el fin de sacar un rédito económico de ellas.

Engaños ante los que, ahora, los tribunales han puesto en el punto de mira a los propios bancos.

Caso Bankinter: un «spoofing» que no fue detectado

«Recibió un SMS en su teléfono móvil. Dicho mensaje apareció dentro de la cadena de SMS que habitualmente utiliza Bankinter».

Así empezó la pesadilla de Sara (nombre ficticio). Y es que, tras este SMS, en el que se le informaba de un supuesto cargo de 1.895 euros en su tarjeta, la mujer recibía una llamada de una supuesta empleada de Bankinter.

Teléfono ante el que la mujer no sospechó, dado que el número pertenece a la atención al cliente del banco. Pensando que se buscaba una rápida solución al cargo indebido, la mujer facilitó los datos. Y, poco después, recibía un mensaje confirmando la anulación del cobro. Sin embargo, al entrar en su cuenta, comprobó que le faltaban 2.520 euros.

«El banco se negó a reembolsarle la suma, alegando que el cliente había tenido una conducta negligente e ignorante al introducir los datos», explica el abogado de la mujer, Santiago Álvarez-Sala, socio director de Álvarez-Sala Abogados.

spoofing bankinter (1) Santiago Álvarez-Sala, socio director de Álvarez-Sala Abogados.
Santiago Álvarez-Sala, socio director de Álvarez-Sala Abogados.

Situación ante la que se interpuso demanda frente al banco ante el Juzgado de Primera Instancia nº16 de Madrid. Juzgado que, en su sentencia 506/2024, estima la demanda de la mujer. Y con ello, «condena al banco al considerar que no existió negligencia grave del cliente, ya que el engaño se produce debido a que el teléfono desde el que le llaman sí pertenece a le entidad. Es decir, habían clonado dicho teléfono».

Un claro caso de spoofing en el que, además, se expone que es el banco el que «debe tener los medios suficientes para que eso no se hubiese producido. En este sentido la jurisprudencia referida en la sentencia señala que el banco debe tener implementados en sus sistemas alarmas para cuando se producen movimientos no habituales en las cuentas de clientes. Además deben tener la capacidad de retroacción de comisiones durante un plazo de 24 h», destaca el abogado.

Casos en los que, para Álvarez-Sala, «las entidades bancarias intentan eludir su responsabilidad trasladando a los clientes la misma, acusándolos de conducta negligente».

Unicaja, responsable de un caso de «phising» a su cliente

Fue un SMS que, en el caso de Natalia, pronto la convertía en una nueva víctima de phising. En su caso, ante la inacción del banco Unicaja.

Así pues, la mujer recibía un mensaje en el que se le instaba a abrir un link que le remitía a una página web, aparentemente real, de la entidad bancaria. Ello, para «validar» sus datos de la banca online.

Mensaje tras el que se produjo una transferencia fraudulenta de 5.000 euros desde su cuenta, lo que llevó a la clienta a contactar con su banco. Sin embargo, posteriormente, «se realizó un cargo por importe de 500 euros. El banco demandado, sin embargo, no atendió ni ha atendido las reclamaciones efectuadas».

«En primera instancia, el juzgado desestimó la demanda, y acogió la tesis de la entidad bancaria al considerar que existía negligencia grave», explica Fran Peláez, abogado y socio director de PenalTech, que ha dado a conocer la sentencia.

Fran Peláez, abogado y socio fundador de PenalTech.

Sin embargo, en su sentencia 267/2024, la Audiencia Provincial de Cáceres estimaba el recurso de apelación. Y así, condenaba a Unicaja a pagar 5.500 euros, más intereses legales, a la afectada por el phising.

«Es más, el fallo destaca, de forma tajante, que la falta de diligencia es imputable a la entidad bancaria que no ha implementado un mecanismo antiphising«, explica el abogado.

Del mismo modo, la AP de Cáceres reconoce que, en este caso de phising, sería preciso «ser un experto para poder detectar que la comunicación obedecía a una estafa o fraude».

Noticias Relacionadas:
Lo último en Tribunales