Si un cliente pierde sus ahorros porque unos ciberdelincuentes se han hecho pasar por el banco y no hay pruebas de que la culpa sea suya, la entidad tendrá que devolverle dinero. El Tribunal Supremo acaba de dictar una sentencia que marca un hito en la defensa de los consumidores frente a las estafas digitales al establecer la responsabilidad de los bancos en los casos de suplantación ('phishing') salvo que consigan probar que la víctima actuó con negligencia grave o cometió fraude doloso.

Con este fallo, la Sala de lo Civil del Supremo ratifica dos sentencias de la Audiencia Provincial de Zaragoza y su Juzgado de Primera Instancia y tras cuatro años de pleitos da la razón a un cliente de Ibercaja al que duplicaron la tarjeta SIM del móvil en febrero de 2021. De este modo los estafadores pudieron recibir los códigos de seguridad del banco (los que nos envían antes de efectuar un pago) y realizaron quince transferencias (algunas a través de Bizum) pese a que en los días previos el usuario había alertado a la entidad de varias anomalías.

En primer lugar, el 24 de febrero, Google le avisó de que había detectado una vulneración de su cuenta de Gmail, por lo que cambió la contraseña de acceso. Minutos después recibió en su móvil varios mensajes SMS con códigos para completar transferencias que no había ordenado, lo que comunicó al banco. Días más tarde, entre el 27 de febrero y el 12 de marzo, Google Play y Google Ads realizaron varios cargos no autorizados por valor de 464 euros en su cuenta utilizando su tarjeta Visa, de lo que también informó a Ibercaja. Además, presentó una reclamación a Google, que la rechazó por no haber podido confirmar que se hubiera producido algún tipo de actividad fraudulenta. Por último, el día 16 recibió en su email una «alerta de seguridad crítica» en la que supuestamente la entidad le informaba de que alguien acaba de usar su contraseña para intentar iniciar sesión en su cuenta y le pedía que, si no había sido él, bloqueara el acceso a través de un link. Inmediatamente el demandante cambió la contraseña, y, al día siguiente, volvió a la oficina bancaria, donde solicitó la cancelación de la tarjeta y la emisión de otra nueva.

Quince transferencias en una noche

Pese a este cambio, los ciberdelincuentes lograron su objetivo el día siguiente. «El demandante no supo lo sucedido hasta la mañana del día 18 de marzo, cuando el personal de la sucursal, alertado por una llamada del Banco Santander, que había detectado el ingreso realizado en una cuenta sospechosa, le preguntó si durante la noche había hecho transferencias desde su cuenta por valor de 83.000 euros», recoge la sentencia. Ibercaja solicitó entonces la restitución del dinero a las entidades de destino de las transferencias, con lo que logró recuperar 27.218 euros. Sin embargo, no se hizo responsable de los 55.782 restantes porque todas las operaciones habían pasado por el filtro del doble factor de autenticación y, a su entender, no es tarea del banco comprobar si quien está haciendo esa autentificación es o no el cliente. De hecho, afirmaba que el descalabró podía haber sido mayor si no hubiera bloqueado otros dos bizum por superar haber superado ya ese día la cantidad máxima que permite abonar esta aplicación.

El Alto Tribunal no sólo no comparte esta teoría, sino que además considera que «los precedentes ponían de manifiesto, para cualquier observador medio razonablemente atento y perspicaz, y más aún para un empleado de banca, que alguien había conseguido acceder a las cuentas de la víctima, y, por ende, disponía de sus claves de usuario y contraseña». Además, señala que «los avances de la tecnología hacen relativamente sencillo diseñar sistemas o aplicaciones informáticas idóneas para detectar anomalías. No puede considerarse como normal e irrelevante que una persona que jamás efectúa operaciones de madrugada, de repente, proceda a llevar a cabo hasta diecisiete operaciones seguidas y por un importe tan elevado».

Finalmente señala que las cláusulas contractuales en que el banco se exime de responsabilidad ante cualquier ataque o fraude no son válidas y determina que el hecho de que un tercero haya podido acceder a las credenciales del usuario no implica que éste no las custodiara debidamente, por lo que salvo que el banco pueda demostrar que el cliente fue negligente en el cuidado de sus contraseñas o haya intentado simular un fraude, deberá hacerse responsable del daño causado a su cliente. En este caso, Ibercaja deberá abonar tanto los 55.782 euros como los intereses que hubiesen generado en estos cuatro años y tendrá hacerse cargo de las costas del proceso judicial.

¿Qué hacer ante un intento de estafa?

Este caso evidencia la importancia de alertar al banco de cualquier intento de estafa y de que quede constancia de nuestro aviso. En caso de recibir cualquier comunicación no solicitada de nuestra entidad financiera (incluso aquellas en que nos alertan de supuestos intentos de acceso o de activación de la firma electrónica desde un dispositivo que no es el nuestro) lo más recomendable es, además de obviarla, hacer pantallazo y eliminar el mensaje para evitar que nadie presione el link por error.

Después hay que cambiar las contraseñas tanto de las cuentas bancarias como de los servicios digitales que puedan tener nuestros datos personales o financieros y desactivar la operativa 'online' de la cuenta a través de la web o pedir al banco que lo haga por nosotros y notificarle inmediatamente lo sucedido. Si el fraude se ha consumado y además hay que interponer una denuncia conviene conservar copia tanto de los mensajes enviados por los estafadores como de cualquier comunicación que hayamos tenido con el banco (mensajes, emails, reclamaciones…).

