En una sentencia que no es firme, la sala desestima el recurso de apelación presentado por el banco contra la decisión del Juzgado de Primera Instancia e Instrucción n.º 4 de Torrelavega, que en su sentencia atendió a la demanda presentada por una clienta que vio cómo se realizaron reintegros en cajero, traspasos entre cuentas, transferencias y un aumento del límite disponible en sus tarjetas de crédito.
Explica el tribunal en su resolución que la propia entidad bancaria reconoció en su respuesta a la reclamación de la mujer que esta había sido víctima de phishing, pero no la indemnizó.
Este reconocimiento por parte de la entidad “evidencia que esta no había implementado todas las medidas o mecanismos necesarios para proteger a su cliente de tales ataques por ciberdelicuentes, cada vez más frecuentes”.
Junto a ello, considera relevante la Audiencia el hecho de que el banco, a pesar del gran número de operaciones realizadas con las claves o credenciales de la actora en solo dos días”, “no tuviese capacidad para detectar que su cliente podía estar siendo víctima de un fraude informático”.
Veinticinco reintegros
Los hechos objetos del pleito tuvieron lugar en agosto de 2020, cuando la mujer recibió en su teléfono móvil un mensaje, aparentemente de su entidad bancaria, en el que se le requería pulsar un enlace para recibir una transferencia a su favor.
La mujer, “distraída por estar ocupada en su negocio, pinchó el enlace”. Posteriormente, tras tener un problema en la tarjeta de su móvil, que tuvo que ser sustituida, recibió en seis minutos tres mensajes que le requerían introducir un código para las operaciones que, según se le informaba, estaba realizando.
Así, con el uso de las credenciales de la mujer, ese día y el posterior se realizaron, entre otras operaciones, veinticinco reintegros, aumentos del crédito disponible en tarjetas de crédito y órdenes de traspaso. Fruto de ello, la mujer sufrió un perjuicio de 23.000 euros y su abuela, titular de una de las cuentas afectadas, de 2.000 euros.
Al conocer estos hechos, la mujer reclamó sin éxito el dinero a la entidad, que reconoció la existencia del fraude y le trasladó una serie de medidas de seguridad que debía adoptar para evitarlo.
La clienta reclamó entonces judicialmente y logró que se estimara su pretensión, si bien la entidad bancaria recurrió a la Audiencia la decisión del Juzgado n.º 4 de Torrelavega.
En su recurso, el banco imputa a la propia clienta el fraude sufrido, porque pinchó el enlace recibido “sin pensar, a pesar de que en el contrato digital firmado en el año 2004 se le advertía expresamente de que Liberbank no solicitaría código de usuario, PIN o tarjeta de coordenadas por ninguna vía”, recoge la sentencia.
Entiende Liberbank que su clienta actuó “de modo negligente, puesto que no recibió un solo mensaje sino cuatro, claramente burdos”.
Pero el tribunal no da la razón a la entidad bancaria y le recuerda que “salvo actuación fraudulenta, incumplimiento deliberado o negligencia grave del usuario, la responsabilidad será del proveedor del servicio de pago”.
Y en este sentido añade que “no cabe concluir que la actora, a pesar de haber pinchado el enlace recibido inicialmente e introducido los códigos solicitados posteriormente, haya incurrido en negligencia grave”.
“La propia entidad, en la contestación a la reclamación de la actora rechazando su responsabilidad, afirma que ‘no se discute que el origen de las operaciones se encuentre en una actuación fraudulenta’ y que ‘parece acreditado que el defraudador obtuvo previamente los datos necesarios para la comisión del fraude a través de phishing’”, reproduce la sentencia.
Por tanto, entiende la Audiencia que “los términos y manifestaciones de la dicha contestación a la reclamación de la usuaria determinan la responsabilidad establecida legalmente para la entidad y excluyen la negligencia grave de la actora”.
Además, según el funcionamiento de esta modalidad de estafa informática, “producido el ataque el usuario pierde todo control de sus credenciales”, “situación en la que no puede imputársele negligencia alguna, ni siquiera inicialmente”, concluye el tribunal.