Los jueces, duros con los bancos si no evitan el fraude a sus clientes
Las indemnizaciones de las entidades bancarias a los usuarios que han sufrido estafas como el phising son cada vez más frecuentes. Si repasamos resoluciones judiciales de este 2024, y de los últimos dos años, podemos encontrar diferentes ejemplos de cómo se está cerrando el cerco alrededor de los bancos. La casuística es clara: los jueces sostienen que su sistema de seguridad debe de ser suficientemente seguro y que la responsabilidad última de estos fraudes es suya.
No hay negligencia del cliente si no se demuestra
Muestra de esta tendencia en los tribunales es una reciente sentencia de la Audiencia Provincial de Alicante. Fechada el pasado 29 de enero de 2024, en ella se desestima el recurso de apelación de Caja Rural Central contra un fallo de primera instancia donde se daba la razón a la demandante, que ha ganado de nuevo a la entidad bancaria. Ella perdió 4.985 euros en manos de un pisher y, aunque no recordaba haber recibido ninguna comunicación donde le pidieran sus claves, los magistrados han concluido que “es a la demandada a quien corresponde acreditar que la operación ordenada sí fue auténtica”.
Otro ejemplo es la condena a Caja Rural de Asturias, que el pasado año tuvo que abonar la cantidad de 5.828,35 euros a una mujer a quien le cargaron en su cuenta pagos no autorizados tras descargar en su móvil la aplicación del banco. “Una usuaria media no tiene por qué conocer que la dirección de la página web del mensaje tenía dominio de Rusia”, afirmó el juzgador.
También en 2023, una jueza de Santander condenó a Unicaja a abonar 5.000 euros a una clienta que fue estafada con la misma técnica de la app. «Para una persona no experta no es fácil detectar que el mensaje recibido es fraudulento o que la web a la que ha accedido a través del enlace facilitado es falsa», señaló.
Estos fallos judiciales, con imposición de costas al banco e intereses añadidos a la indemnización, ponen en evidencia que el desconocimiento de los particulares no es sinónimo de un comportamiento negligente en estas circunstancias. Surge así el concepto de ‘responsabilidad cuasiobjetiva’: la entidad es culpable salvo que demuestre una negligencia grave del usuario.
Solicitud de datos y claves de acceso
Otra de las estrategias más comunes que emplean los ciberdelincuentes es el envío de mensajes donde se pide al usuario que confirme sus datos personales y/o claves de acceso. El año pasado, el banco Santander fue condenado a pagar una indemnización de 5.895 euros por no evitar esta maniobra fraudulenta. La víctima de este caso se alertó cuando detectó varias compras con su tarjeta que ella no había realizado, después de proporcionar su información bancaria a través de un mensaje donde se los solicitaban. El argumento del magistrado fue aquí el incumplimiento del contrato de cuenta bancaria, concretamente por no respetar su deber de restitución ante operaciones no aceptadas.
En 2022, con una técnica muy similar, Abanca se vio obligada a pagar 4.365 euros a una mujer que compartió datos bancarios con un tercero a través de un correo electrónico. La Audiencia Provincial de Pontevedra consideró, de nuevo, que la entidad no había sido capaz de detener este engaño premeditado. Esta sentencia, pese a hacer referencia a la falta de elaboración del correo fraudulento -que, incluso, tenía faltas de ortografía-, resalta que Abanca no había implementado un mecanismo antiphising adecuado.
En ambos juicios, el incumplimiento de los deberes de las entidades bancarias en cuanto a seguridad inclinó la balanza hacia sus clientes. Y, paralelamente, se desestima el argumento general que suele presentar la banca en estas causas, basado en que su sistema interno funcionó correctamente aunque las claves y códigos los introdujera un extraño.
“Los bancos son perfectamente capaces de detectar un cambio de dispositivo”
Como abogado experto en phising, el reconocido letrado Juan Pablo Palomar, del bufete Palomar Abogados, apunta al hablar de este asunto que “la autenticación de doble factor no es, en absoluto, un muro de contención infranqueable”. De hecho, el Reglamento Delegado 2018/389 de la Comisión Europea “deja muy claro que, muy por encima de esa medida, los bancos deben disponer del debido protocolo antifraude”. Por ejemplo, explica, “si un cliente se conecta siempre desde un mismo dispositivo para acceder a su banca online, la entidad debería actuar inmediatamente si la gestión se está realizando desde otro, y llamar al cliente para hacer la correspondiente comprobación. Los bancos son perfectamente capaces de detectar un cambio de dispositivo por la huella que deja cada acción de este tipo”.
Este especialista advierte, además, de una astuta práctica que se suele producir los fines de semana. Sea por un virus previo que el usuario, sin saberlo, ha instalado en su ordenador y lee sus movimientos bancarios, o por una llamada telefónica directa, se contacta con la posible víctima con la falsa excusa de que su cuenta está siendo atacada. Y, a continuación, se solicitan con urgencia sus datos de acceso para bloquear la amenaza cuanto antes. O un código de validación, en el supuesto de que se acabe de realizar una compra. Teniendo en cuenta que no es un día laborable y el miedo que despierta esa conversación, hay muchos afectados por esta trampa.
Confianza en los bancos, a pesar de todo
Aunque se están incrementando las demandas a los bancos, los ciudadanos siguen depositando su confianza en ellos. Al menos los españoles. Esta conclusión es la que se desprende de la primera encuesta sobre ‘Ciberseguridad y hábitos de uso de canales digitales’, llevada a cabo por Sigma Dos en colaboración con la Confederación Española de Cajas de Ahorros (CECA). Conforme a los datos de este estudio, las entidades bancarias son las que más confianza inspiran a los usuarios a la hora de gestionar y proteger sus datos personales.
El 78% de los encuestados manifiesta que su banco se preocupa por su seguridad digital. Y el 84% indica que no considera peligroso operar a través de su banca digital. De hecho, en este informe se percibe que los particulares no temen demasiado a caer en el engaño del phising, ya que solamente la mitad de los encuestados ven probable (o muy probable) que puedan llegar a ser víctimas de un ciberataque.