Estafa en criptomonedas: sentencia obliga al BBVA a devolver 31.000€

El pasado mes de marzo de 2024, la víctima recibió un mensaje a través de redes sociales que le ofrecía la posibilidad de realizar una inversión en criptomonedas uniéndose a una plataforma de inversores. Confiando en la propuesta, decidió invertir 250 € y siguió las instrucciones facilitadas por los supuestos traders para instalar el programa AnyDesk, de uso frecuente entre los inversores en línea. Pero, en realidad, a través de AnyDesk, los ciberdelincuentes lograron introducir un programa malicioso que les permitió acceder con libertad y tomar el control remoto del dispositivo, incluido el acceso a las credenciales bancarias.

A partir de ahí, entre el 18 y el 29 de abril de 2024, los ciberdelincuentes operaron con total libertad sobre diversas cuentas de la clienta y llegaron a sustraer 42.000 € a través de 8 operaciones bancarias no autorizadas: 31.000 € procedentes directamente de su dinero y 11.000 € provenientes de un préstamo personal contratado en línea a su nombre. Una larga serie de operaciones completamente inusuales atendiendo al historial de movimientos de la clienta afectada que no activaron los sistemas de alarma y protección de la entidad, a pesar de que el destino de las transferencias era Malta, «un país sospechoso de ser un paraíso fiscal», y la empresa destinataria, Openpayd, era, según la sentencia, “susceptible de blanqueo de capitales”.

Negligencia leve de la clienta, responsabilidad del banco

El Juzgado de Primera Instancia nº 30 recuerda que, según el Real Decreto-ley 19/2018 sobre servicios de pago, la regla general es que la entidad está obligada a devolver de manera inmediata el importe de cualquier operación de pago no autorizada, salvo que acredite que el cliente actuó con dolo o negligencia grave en la custodia de sus credenciales.

En este caso, el magistrado destaca que la clienta no entregó voluntariamente sus claves, sino que «la cooperación de la usuaria se circunscribiría, en su caso, al momento inicial de la infección», es decir, al simple hecho de seguir las instrucciones para instalar el programa facilitado por la falsa plataforma de inversores. Esta actuación, añade la resolución, solo puede calificarse como imprudencia leve y no permite «apreciar una falta grave de custodia de las credenciales». En sentido contrario, la sentencia subraya que, para eximirse de responsabilidad por los hechos ocurridos, corresponde al banco demostrar que su sistema funcionó correctamente y que existió fraude o negligencia grave por parte de la persona usuaria. Un extremo que, en este caso, el BBVA no ha acreditado, al no aportar ningún registro de comunicaciones o mensajes en los que conste que la clienta hubiera proporcionado códigos o claves de operación. Por el contrario, la presencia verificada de aplicaciones de control remoto en el dispositivo móvil demuestra que, mediante este software malicioso, los ciberdelincuentes pudieron acceder a las credenciales y tomar el control absoluto de la operativa bancaria sin necesidad de ningún tipo de colaboración activa posterior de la clienta.

Deber de detección de operaciones anómalas y controles de blanqueo

Como empieza a ser ya habitual, la sentencia pone el acento en el incumplimiento del deber de vigilancia y prevención del riesgo por parte de la entidad, recordando que la legislación establece que es obligación de los bancos «facilitar un sistema de banca telemática segura» y, con ese objetivo, dotarse de «sistemas de seguridad que permitan detectar las transferencias y disposiciones no autorizadas» por las clientas.

Atendiendo a este criterio, el juzgado destaca que en el caso analizado existían numerosos indicios que deberían haber activado los protocolos internos de la entidad de detección del fraude y prevención del blanqueo de capitales, como, entre otros, el elevado importe de las transferencias realizadas en un breve lapso de tiempo a un país como Malta, la contratación de un préstamo desviado de forma inmediata a cuentas corrientes situadas en el extranjero o la realización de operaciones desde una IP y un dispositivo distintos de los habituales. Operaciones e indicios que, por ser completamente inusuales según el historial previo de la clienta, «deberían haber sido detectadas como anómalas». Sin embargo, el BBVA no contactó con su clienta para confirmar la autenticidad de las operaciones ni envió ningún aviso preventivo por SMS, correo electrónico o llamada, y fue un familiar quien, al revisar los movimientos, alertó a la víctima de lo que estaba sucediendo.

Nulidad absoluta del préstamo de 11.000 €

Además de condenar a devolver el dinero sustraído de las cuentas, la sentencia declara la nulidad absoluta del préstamo personal por un importe de 11.000 € formalizado en línea mediante el uso fraudulento de las credenciales de la clienta.

El juzgado considera que el contrato se concluyó sin su consentimiento real y que el préstamo no puede imponerse a la clienta como fuente de una obligación de reembolso. En consecuencia, la sentencia libera a la clienta de la deuda contraída por los ciberdelincuentes y obliga al BBVA a devolver todas las cuotas ya abonadas (capital, intereses y cualquier otro gasto vinculado), con los intereses legales correspondientes.

Un precedente relevante para víctimas de estafas digitales y falsas inversiones

La resolución del Juzgado de Primera Instancia nº 30 de Barcelona se suma a una serie cada vez más amplia de decisiones judiciales que refuerzan la responsabilidad de las entidades financieras ante operaciones no autorizadas en entornos digitales, especialmente cuando se utilizan técnicas sofisticadas como la introducción de malware para facilitar el control remoto de dispositivos.

«Afortunadamente, los juzgados son conscientes de que la creciente sofisticación de las técnicas empleadas por los delincuentes informáticos favorece que cualquiera de nosotros pueda acabar siendo víctima de una estafa, ya sea en forma de phishing clásico o, cada vez con mayor frecuencia, de estafas relacionadas con falsas inversiones. Al contrario de lo que casi siempre manifiestan los bancos, los estafadores no necesitan una negligencia especialmente grave de la víctima para poder actuar», explica Òscar Serrano, abogado de Col·lectiu Ronda responsable de la demanda. No obstante, el abogado lamenta que «todavía hoy mucha gente nos visita con un gran sentimiento de vergüenza, como si lo sucedido hubiera sido culpa suya, y eso hace que sean muchas las personas que no confían o renuncian a ejercer los derechos que la legislación les reconoce». En este sentido, Serrano recuerda que «son los bancos quienes deben demostrar que han cumplido de forma suficiente con su deber de diligencia y protección, facilitando un entorno telemático absolutamente seguro y dotándose de los instrumentos tecnológicos necesarios para detectar operaciones susceptibles de tener un origen fraudulento o estar relacionadas con el blanqueo de capitales. Operaciones tan anómalas y fuera del patrón de comportamiento habitual de la clienta como las analizadas en este caso no pueden pasar desapercibidas para una entidad como el BBVA».