Condenan a una entidad bancaria por déficit del sistema de seguridad a reembolsar a un cliente víctima de un fraude
Contratos bancarios. Servicios de pago. Estafa informática mediante la apropiación de datos personales (correos electrónicos y SMS suplantando a la proveedora de servicios de pago). Spoofing. Transferencia. Obligaciones y responsabilidad del proveedor de servicios de pago.
Condenada a la entidad bancaria a pagar 6.000 euros a un usuario que fue víctima de una estafa de suplantación de identidad conocida como ‘SMS spoofing’. El perjudicado recibió un SMS, aparentemente del banco del que era cliente, que decía: “AVISO: un acceso no autorizado está conectado a su cuenta online. Si no reconoce este acceso verifique inmediatamente: tras pinchar en el enlace le llegó un nuevo mensaje con el texto: “Unicaja Banco: Introduce la clave de seguridad para finalizar con la vinculación de dispositivo de Banca Digital”. Poco después le informaba que había ejecutado una transferencia por importe de 6.000 euros, que en realidad no había sido ordenada por él sino por un tercero que había obtenido sus datos bancarios y la autorización para realizarla. La entidad admite que el primer paso de facilitar las claves de usuario y contraseña cuando recibió el primer mensaje pudiera no ser suficiente para calificarlo de negligencia grave. No obstante, mantiene que el segundo paso que dio el perjudicado cuando autorizó la vinculación de otro dispositivo es el que permitió llevar a cabo la operación fraudulenta.
El magistrado destaca que, según el informe policial, la modalidad de fraude utilizado es la más avanzada, conocida como ‘SMS spoofing’ mediante la cual el autor de la estafa suplanta el ID de los SMS de la entidad bancaria, de forma que es prácticamente imposible que el teléfono del perjudicado catalogue tales mensajes como fraudulentos o spam, generando la confianza de la víctima en su autenticidad.
Esa responsabilidad se acentúa aún más cuando el proveedor no exige una “autenticación reforzada del cliente, supuesto en que éste último únicamente responde de haber actuado de forma fraudulenta”. El Banco no solo no ha demostrado que el cliente hubiera incurrido en negligencia grave en el proceso que desembocó en la estafa, sino que todo apunta a un déficit del sistema de seguridad de la propia entidad bancaria para evitar esta clase de ataques informáticos.Se establece por tanto a cargo de la proveedora de los servicios de pago de un riguroso régimen de responsabilidad ante disposiciones no autorizadas, que solo cede con la demostración de la actuación fraudulenta o gravemente negligente del usuario.
La actuación del usuario no puede calificarse de “temeraria ni gravemente negligente” a la vez que no puede exigirse a quien resultó engañado mayor precaución que a quien debía poner los medios necesarios para evitarlo. Condena al banco tras razonar que existió un incumplimiento contractual por su parte al no haber comprobado la autorización de la orden de pago y no disponer de un adecuado sistema de seguridad que previniera este tipo de órdenes fraudulentas. El usuario procedió como con " toda probabilidad habría realizado gran parte de la población, por más que sea usuaria de esos canales tecnológicos, en los que el refinamiento en el desarrollo de la actividad delictiva parece ir un paso por delante de las barreras que se ponen para evitarla, pese a que, sin duda, es a la entidad a quien corresponde implementar todos los medios precisos para anticiparse a esa actividad, que es de lo que, sin embargo, aquí no hay prueba alguna.