La prestadora de servicios de pago, debe asumir la responsabilidad patrimonial que se le exige por el riesgo que el propio sistema de pagos conlleva
Responsabilidad patrimonial bancaria. Contratos bancarios. Prestación del servicio de pago. Credenciales de seguridad. Obligaciones contractuales. Phishing. Suplantación en la identidad.
Una clienta de la entidad bancaria movió todo su dinero a la cuenta de unos delincuentes tras ser engañada mediante mensajes al móvil que la llevaban a una réplica exacta de la web del banco.
Estimada la demanda de una vecina de la capital grancanaria que perdió todo su dinero al ser víctima de unos ciberdelincuentes que se hicieron pasar por la entidad bancaria en la que tenía su cuenta, y ha condenado al banco a abonar a la afectada la suma que le fue sustraída mediante phishing (4.902 euros) más los intereses legales devengados.
La entidad bancaria se oponía a la reclamación de la clienta, alegando que sólo ella era responsable de haber caído en la trampa. La autoridad judicial establece que existe responsabilidad patrimonial por parte del banco, ya que, expone, “siendo la demandada la que prestar el servicio de pago en un entorno tan tecnológico y susceptible cada vez más de ataques como el que ha sido objeto la actora, implica la responsabilidad patrimonial, dado que es el mismo el que debe de aumentar las medidas de seguridad específicas, y no meramente informativas, a la altura de los medios de pago que ofrece. Corresponde al proveedor del servicio acreditar que la operación fue autenticada, registrada con exactitud y no se vio afectada por un fallo técnico u otras deficiencias vinculadas al servicio de pago del que es responsable. Asi como probar que el usuario del servicio de pago cometió fraude o negligencia grave. La demandada tan solo ha aportado la documentación referida a la forma de procesamiento de las transacciones. De los que no se puede concluir que la actuación en el caso de la actora infringiera gravemente sus obligaciones en cuanto a la salvaguarda y protección de los datos de seguridad personales sobre todo a la vista de la forma en la que se produjo las transferencias y en escenario de phishing previo.
No puede pretenderse que la actora “desplegara una actitud sospechosa o inquisitiva en cuanto al mensaje remitido”, que entendió legítimo “toda vez que incluso recibió llamadas de quien decía ser empleado de la demandada, que explicaban el motivo de los SMS remitidos (…) dentro de la línea de conversación que mantenía” con su banco. “No existen datos que supongan acreditar la existencia de una actuación imprudente por parte de la actora”, “teniendo en cuenta que se usó un sistema tecnológico complejo constando una serie de ataques mediante SMS a la confianza de la actora en quien creía ser la entidad financiera, remitiendo un enlace que le lleva a una página web de contenido idéntico, dando lugar de forma inmediata por parte de la clienta a denunciar los hechos y ponerlo en conocimiento de la entidad financiera tan pronto como fue consciente del resultado de las transferencias . La sentencia es susceptible de recurso de apelación ante la Audiencia Provincial de Las Palmas.