Advertencia judicial a los bancos ante el auge de las estafas: «Los clientes son las víctimas y las entidades deben responder»

Cada vez resulta más complicado sortear los intentos de estafa que los usuarios sufren en Internet, con delincuentes que se hacen pasar por empresas u organismos públicos de confianza para robar datos sensibles de las víctimas o infectar sus dispositivos. Es lo que se conoce en lenguaje informático como 'phishing'. En estos casos, ¿de quién es la responsabilidad? ¿De la víctima, o de la compañía a la que han suplantado la identidad?

A este respecto, la Audiencia Provincial de Badajoz ha emitido recientemente una sentencia que confirma la culpabilidad de un banco en la estafa sufrida por una clienta, que pinchó un SMS que resultó ser fraudulento.

La mujer recibió en su teléfono móvil un mensaje en el que se le advertía de que a partir de cierta fecha no podría utilizar su tarjeta bancaria. Y que para evitarlo debía activar el nuevo sistema de seguridad pinchando un enlace.

El aviso resultó ser un cebo de los ciberdelincuentes, que extrajeron 3.441,20 euros de su cuenta corriente. La víctima interpuso una denuncia ante los tribunales, y el Juzgado de Primera Instancia número 1 de Badajoz condenó al banco a indemnizarla por daños y perjuicios con la cantidad sustraída, más los intereses legales y costas.

En su recurso ante la Audiencia Provincial, la entidad financiera solicitaba la revocación de la sentencia alegando que toda la responsabilidad del fraude era de la clienta al pinchar un enlace que facilitó a los delincuentes el acceso a su cuenta corriente.

La víctima, por su parte, se defendía con el argumento de que «es una simple consumidora» y que, por lo tanto, «carece de conocimientos financieros». Al recibir un SMS donde se identificaban como Unicaja Banco SA -aunque asume que fueron varios los mensajes remitidos-, «no provocó en ella ningún tipo de duda de que se trataba de dicha entidad».

La Audiencia Provincial confirma el fallo del juez de instancia y concluye que el banco «incurrió en un incumplimiento de los deberes de diligencia en la prevención del fraude mediante 'phishing'» que le convierte en «responsable» del perjuicio sufrido por la víctima. Y ello a pesar de que la ley de servicios de pago establece como principal obligación de los usuarios «adoptar las medidas razonables para proteger sus credenciales de los terceros».

Además, la normativa de consumo aplicable en este caso ampara al cliente, puesto que desde que los medios digitales se han implantado en el negocio de la actividad bancaria, «el riesgo de los fraudes debe ser soportado con carácter general por las entidades financieras».

Añade el fallo que su auge económico se explica «justamente por el abandono cada vez mayor de la presencialidad». Y que las entidades financieras tienen la doble condición de «beneficiarias y de generadoras del riesgo». «Para los consumidores en general y más para los que sufren la brecha digital, es difícil detectar el fraude porque la delincuencia va perfeccionando el engaño», explica el juez en su sentencia.

Por último, sostiene que «hacen falta comunicaciones seguras, más formación a los clientes, más inversión en seguridad para evitar la clonación de las páginas y, si es necesario, bloquear las cuentas para la mejor protección de los clientes. No podemos olvidar que el depositante tiene derecho a la indemnidad de sus ahorros».