El Juzgado de Primera Instancia e Instrucción número 1 de Vic (Barcelona) ha condenado a Caixa d’Enginyers a devolver los 5260 euros sustraídos de la cuenta corriente de una de sus clientas mediante una transferencia fraudulenta ordenada por delincuentes cibernéticos
.......................................
Caixa d’Enginyers deberá devolver los 5260 euros sustraídos por delincuentes cibernéticos de la cuenta corriente de una clienta de la entidad mediante una transferencia realizada sin el consentimiento ni el conocimiento de la afectada.
El pasado 21 de octubre de 2021, la clienta fue consciente de que ese dinero había desaparecido de su cuenta sin que ella hubiera ordenado y autorizado la operación. En ese momento, la afectada interpuso la pertinente denuncia ante los Mossos d'Esquadra y lo comunicó de inmediato al servicio de atención al cliente de la entidad. Sin embargo, la gestión resultó infructuosa, pues transcurridos tres meses desde los hechos delictivos, Caixa d’Enginyers comunicó a su clienta que había sido imposible recuperar el dinero porque ya había sido retirado de la cuenta de destino de la transferencia fraudulenta. En la misma comunicación, la entidad informaba a la afectada que Caixa d’Enginyers declinaba cualquier responsabilidad sobre los hechos, argumentando que la transferencia había sido realizada a través del servicio de banca online utilizando las contraseñas correctas y la operación había sido validada mediante el envío de un código de verificación dirigido al número de móvil de la titular de la cuenta. Siendo así, ya criterio del banco, si alguien había tenido acceso a los datos enviados al número de teléfono de la afectada sólo podía ser consecuencia de la propia negligencia de la perjudicada.
Una práctica cada vez más habitual
Ante la negativa de la entidad a asumir cualquier tipo de responsabilidad sobre los hechos ocurridos, la víctima recurrió a los tribunales, sosteniendo, como ha quedado acreditado, que los mensajes para verificar y confirmar la operación nunca llegaron a su teléfono móvil y, por tanto, no fue ella quien autorizó la transferencia. Efectivamente, las pruebas periciales realizadas demuestran que el mensaje de confirmación se envió al número de la clienta, pero en lugar de llegar a su teléfono, lo hizo a un dispositivo distinto que obraba en poder de los piratas informáticos responsables de la estafa. "Se trata de una de las formas de ciberdelincuencia más habituales de un tiempo a esta parte" explica Òscar Serrano, abogado del Colectivo Ronda que ha asesorado a la clienta. «Los piratas, a través de los datos personales que nos roban, logran desviar las comunicaciones dirigidas a nuestro teléfono y acceder sin consentimiento a nuestra cuenta. De esta forma, ordenan una transferencia y ellos mismos confirman la operación en otro dispositivo, todo ello sin que tengamos constancia en ningún momento de lo que está sucediendo».
Obligación de supervisar las operaciones
Tal y como recuerda la sentencia del Juzgado de Primera Instancia e Instrucción número 1 Vic, las entidades financieras son responsables de garantizar la seguridad del entorno cibernético que ponen a disposición de sus clientes y de velar por proteger los intereses de los usuarios que lo utilizan. Esta responsabilidad incluye la obligación de analizar las operaciones realizadas y no autorizarlas hasta constatar de forma fehaciente que es su cliente y no otro suplantando su identidad con fines delictivos quienes están ofreciendo su consentimiento. «La responsabilidad de las entidades es, en términos jurídicos, 'casi objetiva' -explica el abogado de Col·lectiu Ronda- y eso significa que ante un caso de ciberdelincuencia, el banco sólo puede eximirse de responsabilidad si logra demostrar que los delincuentes han accedido a los datos personales de la persona estafada como consecuencia única y exclusivamente de una grave negligencia por parte de la propia persona. Y al respecto es importante remarcar dos cuestiones: es el banco quien debe demostrar que ha habido negligencia y ésta debe ser grave».
Òscar Serrano lamenta, sin embargo, que las entidades tan sólo en pocas ocasiones actúan según determina la legislación vigente y suelen declinar la responsabilidad que la normativa les impone, obligando a las víctimas de phishing a acudir a los juzgados para ver reconocidos sus derechos. «La Ley de Servicios de Pago señala con claridad que las únicas operaciones válidas son aquellas que cuentan con el consentimiento de la persona ordenante y, por tanto, cuando un usuario niega haber otorgado este consentimiento, las entidades están obligadas a devolverle de forma inmediata el importe de la operación. Sin embargo, la situación casi siempre se da al revés y en sentido contrario a lo que determina la ley. Se obliga a los clientes a reclamar y, por tanto, se demora la restitución de un dinero que les ha sido sustraído por incumplimiento del deber del banco de garantizar la seguridad de las operaciones». Con todo, el abogado recuerda que los tribunales «acostumbran a fallar a favor de los afectados, pues estas estafas en muy pocas ocasiones están favorecidas por la negligencia de los clientes sino que son causadas por los métodos cada vez más sofisticados empleados por los delincuentes informáticos para acceder a nuestros datos y suplantar nuestra posibilidad».