Un juzgado condena a un banco por no evitar una ciberestafa a un cliente

El asunto se judicializó por que el banco se opuso a la reclamación de la clienta, alegando que ella era responsable de haber caído en la trampa de los malhechores. La autoridad judicial establece ahora que existe responsabilidad patrimonial por parte de la entidad, ya que, expone, «siendo la demandada (BBVA) la que prestar el servicio de pago en un entorno tan tecnológico y susceptible cada vez más de ataques como el que ha sido objeto la actora, implica la responsabilidad patrimonial, dado que es el mismo el que debe de aumentar las medidas de seguridad específicas, y no meramente informativas, a la altura de los medios de pago que ofrece».

Según detalla la sentencia, la ciberestafa se fraguó en el verano de 2023, cuando la clienta del banco recibió a su móvil por vía SMS, «el canal habitual de comunicación» con el banco, un mensaje que le informaba de «una alerta de seguridad» en su tarjeta, remitiéndola para su subsanación en el mismo mensaje a un link o enlace informático.

La afectada accionó el link desde su teléfono y esta acción la llevó a una web «con todos los rasgos identificadores» de la página oficial del banco. En ella, sigue relatando el fallo, «la actora insertó clave y contraseña para acceder, no lográndolo». De esta forma, al día siguiente recibió una llamada de «quien dijo ser empleado de la parte demandada (el banco) con conocimiento de datos personales de la actora, nombre, apellidos, últimas operaciones… informándole de que se había producido una situación de grave riesgo de seguridad informática y que debía de transferir todos sus fondos a una nueva cuenta, con un Iban que se le remitió por el hilo de SMS de la entidad financiera».

La actora llevó a cabo sendas transferencia a la cuenta indicada de 1.152 y 3.750 euros, «perdiendo toda disponibilidad sobre las referidas cantidades, dando lugar a la denuncia ante el Cuerpo Nacional de Policía».

Frente a la oposición del banco a restituir a la afectada el dinero que le habían sustraídos los ciberdelincuentes, el juez expone que no puede pretenderse que la víctima «desplegara una actitud sospechosa o inquisitiva en cuanto al mensaje remitido», que entendió legítimo «toda vez que incluso recibió llamadas de quien decía ser empleado de la demandada, que explicaban el motivo de los SMS remitidos (…) dentro de la línea de conversación que mantenía» con su banco.

«No existen datos que supongan acreditar la existencia de una actuación imprudente por parte de la actora», dice la sentencia, «teniendo en cuenta que se usó un sistema tecnológico complejo constando una serie de ataques mediante SMS y remitiendo a un enlace que le lleva a una página web de contenido idéntico».

La sentencia de primera instancia es susceptible de recurso de apelación ante la Audiencia Provincial de Las Palmas, pero marca un paso sobre la responsabilidad patrimonial de los afectados por ciberataques, cada vez más comunes y que suponen ya el 20% de todos los delitos que se denuncian en España.