Estafa en criptomonedes: sentència obliga el BBVA a retornar 31.000€

El passat mes de març de 2024, la víctima va rebre un missatge a través de xarxes socials que li oferia la possibilitat de realitzar una inversió en criptomonedes unint-se a una plataforma d’inversió. Confiant en la proposta, va decidir invertir 250€ i va seguir les instruccions facilitades pels suposats traders per instal·lar el programa Anydesk, d’ús freqüent entre els inversors en línia. Però, en realitat, a través de l’Anydesk, els ciberdelinqüents van aconseguir introduir un programa maliciós que els va permetre accedir amb llibertat i prendre el control remot del dispositiu, incloent-hi l’accés a les credencials bancàries.

A partir d’aquí, entre el 18 i el 29 d’abril de 2024, els ciberdelinqüents van operar amb total llibertat sobre diversos comptes de la clienta i van arribar a sostreure 42.000 € a través de 8 operacions bancàries no autoritzades: 31.000 € procedents directament dels seus diners i 11.000 € provinents d’un préstec personal contractat en línia en nom seu. Un llarg seguit d’operacions completament inusuals atenent a l’historial de moviments de la clienta afectada que no van activar els sistemes d’alarma i protecció de l’entitat malgrat el destí de les transferències era Malta, «un país sospitós de ser un paradís fiscal», i l’empresa destinatària, Openpayd, era, segons la sentència, “susceptible de blanqueig de capitals”.


 

Negligència lleu de la clienta, responsabilitat del banc

 

El Jutjat de Primera Instància 30 recorda que, segons el Reial Decret-llei 19/2018 sobre serveis de pagament, la regla general és que l’entitat està obligada a retornar de manera immediata l’import de qualsevol operació de pagament no autoritzada, llevat que acrediti que el client va actuar amb dolo o negligència greu en la custòdia de les seves credencials.

En aquest cas, el magistrat destaca que la clienta no va lliurar voluntàriament les seves claus, sinó que ««la cooperació de la usuària se circumscriuria, si de cas, al moment inicial de la infecció»», és a dir, al simple fet de seguir les instruccions per instal·lar el programa facilitat per la falsa plataforma d’inversors. Aquesta actuació, afegeix la resolució, només pot qualificar-se com a imprudència lleu i no permet «apreciar una falta greu de custòdia de les credencials». En sentit contrari, la sentència subratlla que, per tal d’eximir-se de responsabilitat sobre els fets ocorreguts, correspon al banc demostrar que el seu sistema va funcionar correctament i que va existir frau o negligència greu de la persona usuària. Un extrem que, en aquest cas, el BBVA no ha acreditat pel fet de no aportar cap registre de comunicacions o missatges on consti que la clienta hagués proporcionat codis o claus d’operació. Per contra, la presència verificada d’aplicacions de control remot en el dispositiu mòbil demostren que mitjançant aquest programari maliciós, els ciberdelinqüents van poder accedir a les credencials i prendre control absolut de l’operativa bancària sense necessitat de cap tipus de col·laboració activa posterior de la clienta.

Deure de detecció d’operacions anòmales i controls de blanqueig

Com comença a ser del tot habitual, la sentència posa l’accent en l’incompliment del deure de vigilància i prevenció del risc per part de l’entitat, tot recordant que la legislació estableix que és obligació dels bancs «facilitar un sistema de banca telemàtica segura» i, amb aquest objectiu, proveir-se de «sistemes de seguretat que permetin detectar les transferències i disposicions no autoritzades» per les clientes.

Atenent a aquest criteri, el jutjat destaca que en el cas analitzat existien nombrosos indicis que haurien d’haver activat els protocols interns de l’entitat de detecció del frau i prevenció del blanqueig de capitals com ara, entre d’altres, l’elevat import de les transferències realitzades en un breu lapse de temps a un país com Malta, la contractació d’un préstec desviat de forma immediata a comptes corrents situats a l’estranger o la realització d’operacions des d’una IP i dispositiu diferent als habituals. Operacions i indicis que, per ser completament inusuals segons l’historial previ de la clienta, «haurien d’haver estat detectades com anòmales». Però, malgrat tot, BBVA no va contactar amb la seva clienta per confirmar l’autenticitat de les operacions ni va adreçar cap avís preventiu per SMS, correu electrònic o trucada, i va ser un familiar qui, en revisar els moviments, va alertar la víctima del que estava passant.

Nul·litat absoluta del préstec de 11.000 €

A banda de condemnar a retornar els diners sostrets dels comptes, la sentència declara la nul·litat absoluta del préstec personal per un import de 11.000 € formalitzat en línia mitjançant l’ús fraudulent de les credencials de la clienta.

El jutjat considera que el contracte es va concloure sense el seu consentiment real i el préstec no pot ser imposat a la clienta com a font d’una obligació de reemborsament. Sent així, la sentència allibera la clienta del deute contret pels ciberdelinqüents i obliga el BBVA a retornar totes les quotes ja abonades (capital, interessos i qualsevol altra despesa vinculada), amb els interessos legals corresponents.

Un precedent rellevant per a víctimes d’estafes digitals i falses inversions

La resolució del Jutjat de Primera Instància 30 de Barcelona s’afegeix a una sèrie cada vegada més àmplia de decisions judicials que reforcen la responsabilitat de les entitats financeres davant d’operacions no autoritzades en entorns digitals, especialment quan s’utilitzen tècniques sofisticades com la introducció de malware per facilitar el control remot de dispositius.

«Sortosament, els jutjats són conscients que la creixent sofisticació de les tècniques emprades pels delinqüents informàtics afavoreixen que qualsevol de nosaltres pugui acabar sent víctima d’una estafa, sigui en forma de phishings clàssics o, cada vegada més freqüents, les estafes relacionades amb falses inversions. Al contrari del que gairebé sempre manifesten els bancs, els estafadors no necessiten d’una negligència especialment greu de la víctima per poder actuar», explica Òscar Serrano, advocat de Col·lectiu Ronda responsable de la demanda. L’advocat, però, lamenta que «encara avui, molta gent ens visita amb un gran sentiment de vergonya, com si hagués estat culpa seva el succeït, i això fa que siguin moltes les persones que no confien o renuncien a exercir els drets que la legislació els reconeix». En aquest senti, Serrano recorda que «són els bancs qui han de demostrar que ha complert de forma suficient amb el seu deure de diligència i protecció, facilitant un entorn telemàtic absolutament segur i proveint-se dels instruments tecnològics necessaris per detectar operacions susceptibles de tenir un origen fraudulent o estar relacionades amb el blanqueig de capitals. Operacions tan anòmales i fora del patró de comportament habitual de la clienta com les analitzades en aquest cas no poden passar desapercebudes per a una entitat com el BBVA».