Una reciente sentencia responsabiliza a los proveedores de medios de pago y ahorro ante los ataques de phishing a sus clientes.
En este post vamos a analizar un supuesto de phishing por el que habitualmente se suplanta la identidad de una entidad bancaria para obtener información sobre las claves o credenciales de las cuentas bancarias o tarjetas de crédito o de débito. Es habitual en este tipo de técnicas por phishing que se envíe un correo electrónico con la apariencia de ser remitido por una entidad bancaria, que contiene un enlace a una página que aparenta ser sitio oficial, pero que en realidad pertenece a un dominio bajo control del hacker.
No obstante, en el caso enjuiciado y que vamos a examinar a continuación, no fue exactamente así, sino que lo acontecido fue que el día 29 de octubre de 2020 una Señora accedió a la banca electrónica de una entidad financiera para realizar una transferencia y, pese a que lo intentó de forma reiterada, no se le remitió la clave de seguridad al móvil para poder hacerla. El día 30 de octubre de 2020 se personó en su sucursal bancaria, expuso a una empleada lo sucedido y se comprobó por ésta que el número de teléfono que les figuraba era el mismo y que no advertía ninguna irregularidad. Por la tarde, la clienta del banco se dio cuenta que el saldo de la cuenta era inferior al que tenía por la mañana, por lo que de forma inmediata se puso en contacto telefónico con la entidad bancaria, informándole que había sido víctima de un fraude, cancelando sus tarjetas de crédito y la banca electrónica. El sábado 31 de octubre de 2020, llama por teléfono al departamento de fraude del banco y le informan de que aún hay más movimientos irregulares pendientes de cargar en su cuenta y que debía denunciar ante la policía lo sucedido. En esta situación, envió un correo electrónico a cada una de las oficinas bancarias en las que tenía abierta cuenta advirtiendo de lo sucedido para que no cargasen ninguna cantidad. También presentó denuncia en comisaría. No obstante, se le cargaron de forma fraudulenta en su cuenta corriente, entre el día 30 de octubre y el 02 de noviembre de 2020, la suma total de 17.350,00 euros.
En definitiva, lo que sucedió fue que la demandante fue víctima de una estafa, que la llevó a creer que estaba operando en la web del Banco, pero necesariamente era una web distinta y, como consecuencia del engaño, en ella facilitó todas sus claves personales de acceso a la banca online o introdujo los códigos SMS/OPT remitidos para cada operación o se instaló desde dicha web algún troyano en el dispositivo móvil.
Ante esta situación, la clienta del banco reclama judicialmente la cantidad de 17.350 euros a la entidad financiera más los intereses y las costas, estimándose en primera instancia por el Juzgado de Alcorcón dicha solicitud, al considerar que la entidad que presta el servicio de pago solo puede exonerarse de responsabilidad, mediante la prueba de culpa grave del usuario que emite la orden de pago, sin que quedase acreditado que la demandante incurriese en una negligencia grave en el uso y custodia de sus claves y credenciales para el uso de la banca electrónica que la demandada puso a su disposición. Por el contrario, sí se estima que la entidad bancaria incumplió con la obligación de diligencia que le es exigible en la autenticación de las operaciones de pago.
En el caso analizado, se le reprocha a la entidad financiera la falta de diligencia, al no detectar el fraude y bloquear las cuentas y tarjetas tras ser avisada por el cliente de que no podía efectuar transferencias y no recibía las claves, y, asimismo, la falta de control de la entidad bancaria, al modificarse el límite máximo de disposición por el hacker.
En segunda instancia, tras el recurso interpuesto por la entidad bancaria, la Audiencia Provincial de Madrid en Sentencia de fecha 13 de enero de 2023, confirma la resolución de primera instancia por falta de diligencia de la entidad financiera, afirmando que:
«…salvo la actuación fraudulenta, incumplimiento deliberado o negligencia grave del usuario de la entidad financiera, la responsabilidad será del proveedor del servicio de pago,- esto es, de la entidad bancaria-, lo que supone que a él le corresponde la carga de la prueba de que la orden de pago ‘no se vio afectada por un fallo técnico o cualquier otra deficiencia’.»
Por lo tanto, ante cualquier situación en la que creamos vulnerada la seguridad de nuestros productos bancarios o medios de pago hemos de informar a la entidad proveedora de los mismos que debe actuar con diligencia para comprobar y, en su caso, asegurar su preservación. En caso, de ser víctima de cualquier tipo de fraude que comprometa tus ahorros no dudes en consultar con nuestro despacho de abogados experto en Derecho Bancario y en delitos ecónomicos, podemos ayudarte.
