Un juez de Santander responsabiliza al banco de un fraude de 'phishing' y le obliga a restituir a la víctima los depósitos sustraídos
Ser víctima de una operación fraudulenta de 'phishing' no implica una negligencia grave por parte de la víctima a la hora de facilitar sus datos bancarios, siempre y cuando la simulación a que se enfrenta sea sofisticada y la entidad financiera no haya establecido mecanismos de alerta y control.
De este modo se ha pronunciado un juez de Santander, que ha estimado la reclamación de un usuario víctima de un fraude por una cuantía de 5.000 euros que su banco no quiso compensar. La Justicia no solo le ha dado la razón, sino que ha condenado en costas al banco, al considerarlo responsable en última instancia de la sustracción.
La sentencia fechada el pasado mes de septiembre condena a la entidad financiera, Caixabank, no solo a restituir la cantidad, sino al abono de los intereses generados y las costas procesales. El fallo del Juzgado de Primera Instancia nº7 de Santander dejaba abierta la posibilidad de recurso ante la Audiencia Provincial, pero este recurso no se ha producido y la entidad ha restituido la cantidad sustraída en el plazo previsto.
La técnica de suplantación de identidad denominada 'phishing' permite el acceso a contraseñas, números de tarjeta e información confidencial bancaria de manera ilegítima y engañosa. Se trata de un robo que ha proliferado al compás de la progresiva digitalización de la banca y el uso de internet por los usuarios en el manejo de sus depósitos.
Básicamente consiste en la recepción por el usuario de un enlace que remite a una página web falsa, pero que imita casi a la perfección la de la entidad financiera de referencia. Al facilitar claves e información variada, los autores del fraude extraen depósitos de la cuenta, abriéndose después una pugna entre víctima y entidad para ver quién asume la responsabilidad de lo ocurrido.
Según el relato de hechos reflejado en la sentencia, la víctima recibió un mensaje de correo electrónico engañoso hace un año a través del cual accedió a un enlace, facilitando datos de su tarjeta de débito en lo que era una simulación de “gran verisimilitud” de la página oficial del banco. A resultas de ello, fueron extraídos tres depósitos de fondos el mismo día. Pero ¿hubo negligencia grave por parte del usuario en esto? Según el juez, no.
La sentencia no discute los hechos, cuyo relato fue aceptado por las partes, sino que se centra en la clave de la responsabilidad, que se traduce en saber quién incurrió en una negligencia grave. Por parte de la víctima, el usuario, la negligencia hubiera sido calificada de grave si no se hubiera enfrentado a una simulación sofisticada y el banco hubiera habilitado instrumentos que hubieran alertado y actuado como cortafuegos.
El juez reprocha así a la entidad “carecer de medios que permitieran detectar operaciones fraudulentas”, es decir, “tecnología 'antiphishing' precisa para detectar las páginas clonadas y cerrarlas o eliminarlas”.
“El actor no omitió las precauciones más elementales que imponía la custodia de sus claves, facilitándoselas a personas desconocidas o no identificadas, en lo que sería una imprudencia grave, sino que las introdujo en una página idéntica a la de su banco a través de un enlace que se había ganado de forma fraudulenta su confianza, en lo que es una imprudencia leve imputable a cualquier persona media, pero que no puede conllevar su responsabilidad”, reza la sentencia.
El actor no omitió las precauciones más elementales que imponía la custodia de sus claves, facilitándoselas a personas desconocidas o no identificadas, en lo que sería una imprudencia grave
Constata por parte del usuario “cierta negligencia”, pero la califica de “leve”, dada la gran sofisticación de la simulación bancaria, cargando la mayor parte de la responsabilidad en la entidad financiera por no disponer de mecanismos de alerta e intervención rápida. No consta, indica la sentencia, que el banco informara de los riesgos de 'phishing'', de las vías que utiliza este sistema y la forma de actuar ante ellas, información que consta de manera genérica en la página web del banco, cosa que no es suficiente para el juez. El cliente, por desconocimiento, se convierte así en “víctima propiciatoria por ignorancia”, a su juicio.
Asimismo no consta que la entidad actuara rápidamente, conocida la sustracción, ni que dispusiera de un sistema de alarma que alertara de casos como el afectado, sobre todo cuando se han realizado tres extracciones de la cuenta de forma continua, equivalente y por cantidades importantes, indicios todos ellos de que se estaría cometiendo un fraude.
Según la legislación en materia de servicios de pago corresponde a la entidad probar que fue el usuario el que cometió negligencia grave. La normativa también establece la obligación de la entidad de abonar el dinero sustraído, salvo que tenga sospechas de que hubiera fraude.
“En caso de que se ejecute una operación de pago no autorizada, el proveedor de servicios de pago del ordenante devolverá a este el importe de la operación no autorizada de inmediato u, en cualquier caso, a más tardar al final del día hábil siguiente a aquel en el que haya observado o se le haya notificado la operación, salvo cuando el proveedor de servicios de pago del ordenante tenga motivos razonables para sospechar la existencia de fraude y comunique dichos motivos por escrito al Banco de España”.
0