Condenan a un banco por no proteger de 'phishing' a una clienta de Jaén

Jaén/El Juzgado de Primera Instancia número 7 de Jaén ha condenado a una entidad bancaria de prestigio a devolver a una joven jiennense 2.380 euros -todo el dinero que tenía ahorrado en su cuenta- que le habían sido defraudados mediante phishing, un tipo de ciberdelincuencia que consiste en ganarse el favor de la víctima a través de correos electrónicos, mensajes de texto y llamadas telefónicas para conseguir que comparta directamente datos confidenciales o que descargue un malware con el que los estafadores puedan acceder a dichos datos. En la sentencia, a la que ha tenido acceso Jaén Hoy, se pone en evidencia la efectividad del sistema de seguridad del banco. Además, el Juzgado dice que la entidad tenía que haber sospechado del fraude después de que la joven, siguiendo instrucciones de los estafadores que se hacían pasar por sus agentes bancarios, transfiriera prácticamente todo su dinero a otra cuenta.

La estafa se perpetró el 29 de mayo de 2023. La víctima, representada por los abogados Elena Moreno y Santiago López, tenía ahorrados 2.384,67 euros en su cuenta. Recibió a las 6:48 horas un SMS, supuestamente de su entidad bancaria, en la que se le informaba de que no podría seguir usando esa cuenta hasta que no actualizara el sistema de seguridad, para lo cual se le facilitó un enlace web. La joven pinchó en el enlace y, ya por la tarde, recibió varias llamadas de un número de teléfono móvil. Una persona identificada como gestor de su banco le informó de que su cuenta estaba bloqueada y que, para volver a usarla, tenía que acudir a un cajero del mismo banco para hacer una transferencia a otra cuenta de la que, en teoría, ella misma iba a ser titular. Lo que desconocía es que, aunque la cuenta también pertenecía a esa entidad bancaria, estaba abierta en una sucursal de Valencia. La víctima hizo caso de todo. No efectuó un movimiento, sino dos: una transferencia de 1.800 euros a las 18:43 horas -en la que la joven, siguiendo las instrucciones, se puso como beneficiaria- y un ingreso en efectivo de 580 euros diez minutos después, es decir, 2.380 euros en total, prácticamente todos los ahorros de su cuenta original.

No fue hasta el día siguiente cuando el banco le avisó de que había sido víctima de una estafa. La joven presentó una reclamación para que le fuera devuelto el dinero. Ante la falta de respuesta, acudió a los tribunales interponiendo una demanda contra la entidad bancaria, que, según reza la sentencia, alegó “toda ausencia de responsabilidad” en los hechos. Es más, no sólo aseguró que, cuando tuvo conocimiento del fraude, actuó “con la debida diligencia”, sino que también señaló a la víctima por no haber reaccionado con la misma rapidez.

"Negligencia grave" del banco

El Juzgado se basa en dos sentencias del Tribunal Supremo para dejar claro que, “desde el punto de vista legislativo”, una entidad bancaria “tiene la obligación” de “conservar debidamente los fondos depositados por los clientes y no hacer entrega de los mismos más que cuando se da estricto cumplimiento a las normas habilitadas al efecto”, según el Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera, una norma que sirvió para transponer al ordenamiento jurídico español una Directiva europea de 2015.

En el fallo se cita el artículo 44 de ese RD-ley, en el que, en resumen, se establece que, cuando un “usuario de servicios de pago” denuncie que no autorizó una operación o que esta se hizo incorrectamente, el “proveedor de servicios de pago” tiene que demostrar que el movimiento se verificó y que no se efectuó de forma fraudulenta. Además, en el artículo 45 se indica claramente: “En caso de que se ejecute una operación de pago no autorizada, el proveedor de servicios de pago del ordenante devolverá a este el importe de la operación no autorizada de inmediato”. Sólo hay una excepción: el banco o la entidad proveedora de servicios de pago no tendrá que restituir el dinero si demuestra que el cliente afectado no hizo lo suficiente para evitar el fraude. Y eso es lo que sostenía el banco de la jiennense estafada.

Sin embargo, el Juzgado rechaza de plano que la joven actuara de forma “negligente”. Según detalla, lo único que hizo ella fue contestar un supuesto mensaje de su banco que tenía “apariencia de validez” para que su cuenta no fuera bloqueada. Tras pinchar en el enlace que se le envió, los estafadores accedieron a la cuenta “obteniendo toda la información de su estado” para luego pedirle que hiciera una transferencia por la misma cantidad de dinero que tenía ahorrada.

En la sentencia se subraya que “los estafadores pudieron sortear las medidas de protección de la entidad bancaria” para lograr su propósito. Se considera, además, que el banco tenía que haberse dado cuenta de ello: “La entidad bancaria debería haber sospechado que en tan breve periodo de tiempo se realizaran dos movimientos por la totalidad del saldo a una cuenta que no era de titularidad de la actora”. Y añade: “Difícilmente se puede considerar que el banco demandado no haya incurrido en negligencia grave de sus obligaciones”. No en vano, más allá de que no alertara a la víctima de ninguna anomalía durante las casi doce horas que pasaron desde el envío del SMS, tras el cual los estafadores accedieron a la cuenta de la joven, y hasta que se hizo la transferencia, tampoco retuvo el dinero para descartar fraudes en el movimiento.

Además, descarta el Juzgado que la joven tuviera cualquier tipo de responsabilidad en lo que sucedió: “Como establece la doctrina, el contestar una llamada telefónica de una persona que se identificaba como trabajador de la entidad bancaria y que le informaba de que tenía que clickar (sic) un enlace o atender un mensaje instantáneo no puede considerarse una actuación negligente”.

Por todo ello, en la sentencia se concluye que “es clara la responsabilidad” del banco, que “no avisó de la transferencia que se estaba realizando, más aún dado el importe considerable de la misma, lo que debió hacer sospechar de la irregularidad de la operación”. El Juzgado obliga a la entidad a reintegrar a la joven los 2.380 euros, más los intereses generados desde que se hizo la transferencia hasta la fecha del fallo, que es firme y, por tanto, no se puede recurrir.