El Juzgado de Primera Instancia e Instrucción número 4 de Ciudad Real ha emitido a finales de mayo una sentencia que condena a Banco Santander a abonar a una clienta 2.882,57 euros, más los intereses legales correspondientes, corriendo con las costas procesales, ante el fraude sufrido por dicha clienta por unos ciberdelincuentes que se hicieron pasar por la mencionada entidad bancaria.
Los hechos se remontan a 2022. Los ciberdelincuentes pidieron a la mujer unos datos con los que accedieron a su cuenta e hicieron varios pagos.
La sentencia señala que “el sistema de autentificación se establece por la entidad demandada, la cual no ha sido capaz de limitar el acceso a la banca digital por parte de un tercero de forma fraudulenta. La entidad tiene la responsabilidad del buen funcionamiento y la seguridad del sistema, es una responsabilidad de riesgo y a la entidad le corresponde acreditar que la operación ordenada sí fue auténtica y, en este caso, esta circunstancia no resulta acreditada”.
Contra la sentencia cabe recurso de apelación.
La estafa que sufrió la mujer, conocida como “phishing”, consistió́ en la recepción de un mensaje de texto SMS a su teléfono móvil como si de la entidad financiera demandada realmente se tratase, puesto que el mismo aparece en el hilo de sms que la entidad suele enviar cuando efectúa algún tipo de comunicación, en este caso, alertándole de que, en caso de no aplicar el nuevo sistema de seguridad, su cuenta quedaría bloqueada con fecha 9 de junio de 2.022, facilitándole un link que, supuestamente, redireccionaba a una página web oficial del banco.
La mujer introdujo los datos requeridos, y pareciéndole raro, procedió́ a llamar por teléfono a la entidad, pero no consiguió́ hablar con nadie, quedándose tranquila al consultar y no ver ningún movimiento extraño en su cuenta.
Al día siguiente, al ir a pagar en el supermercado con su tarjeta, resultó imposible esta operación, indicándole que la misma estaba bloqueada.
Acto seguido contactó con la entidad financiera, que le indicó que, habiendo constatado la existencia de una serie de movimientos fraudulentos con su tarjeta, la propia entidad había procedido a bloquear su tarjeta, que estos movimientos aún no se habían hecho efectivos y que con toda seguridad no se iban a cargar en su cuenta, procediendo así́ mismo a dar cita en su entidad, donde se le vuelve a asegurar que el banco está al corriente de todo y que esos cargos están retenidos y no se van a ver reflejados en su cuenta, y se abrió la correspondiente incidencia.
Ese mismo día por la tarde se reflejaron en la cuenta los cargos bancarios cuyo origen se encuentra en las operaciones fraudulentas, que se supone, estaban bloqueados.
Los cargos efectuados con tarjeta bancaria de débito corresponden a cheques de viajeros/giros y otros pagos en comercios con la categoría de telemarketing.
La afectada volvió volvió a contactar con la entidad para obtener una explicación, siendo pasada con ciber seguridad y se abrió una reclamación.
La mujer volvió a ir a la entidad, entregando la tarjeta bloqueada y se le indicó que debía interponer la correspondiente denuncia de fraude, que interpuso y presentó a la entidad financiera.
Días después, volvió a recibir otro sms del Grupo Santander, similar al que recibió la primera vez y que resultó ser un fraude, pero, en esta ocasión, no realizó ninguna actuación y presentó la correspondiente reclamación ante el Servicio de Atención al Cliente de dicha entidad, solicitando la devolución de las cantidades sustraídas, que no fue atendida por la entidad bancaria.
El banco negó su responsabilidad al considerar que los cargos reclamados se produjeron “debido a un previo incumplimiento por la actora de la obligación de guardia y custodia de sus credenciales bancarias de seguridad” y alegando que “esta conducta negligente de la actora consiste en que cedió́ su usuario y clave para acceder a la banca online, además de los códigos SMS OTP que se remitieron a su teléfono para dar de alta un nuevo dispositivo seguro y modificar los límites. El mensaje inicial se remite desde un número de teléfono y desde un portal web que nada tiene que ver con la del Banco de Santander, y la demandante no realizó comprobación previa alguna. Tras descubrir el robo en su cuenta, la joven bloqueó las tarjetas y cuentas bancarias para evitar más problemas, además de comunicar a la entidad el delito. Importante también es restaurar el teléfono para evitar, si así fuere, que los delincuentes sigan accediendo a datos personales».
“Nos podía pasar a todos”
Fuensanta Cabrera, perteneciente a Cabrera Abogados y abogada de la mujer, ha declarado a Lanzadigital que lo que le pasó “nos podía pasar a todos. Siempre pienso en cuál será el fraude bancario en el que yo caeré. Desde Cabrera Abogados llevamos años peleando por que se asegure la última responsabilidad en los fraudes bancarios (y sus diferentes modalidades) y la responsabilidad es de la entidad bancaria, custodio de las cuentas, ya que el riesgo tecnológico no debe recaer sobre el consumidor. La entidad bancaria tenía mecanismos para que esto no pasara”.
Añade que, “lamentablemente, pocos casos llegan a los juzgados, pues quien es objeto de una estafa bancaria, se siente engañado y responsable de lo sucedido, siente vergüenza, y no debería ser así. De los casi 100 casos analizados, nunca hay una actitud negligente, sino de error en el consentimiento, lo que conlleva la responsabilidad de la entidad”.
“Desafortunadamente pocos son los casos en los que el banco devuelve el dinero al afectado en una primera instancia, pese a la denuncia”.
Cabrera apunta que cada vez hay más casos de estafas bancarias. “Los ciberdelincuentes utilizan todo tipo de artimañas a través de la suplantación de identidad para acceder a los datos de la gente. Las personas que acuden al despacho no son analfabetas, pero caen en estas trampas”.
“Las entidades bancarias autentifican la identidad en caso de transferencias, pero no prestan ese servicio ante los fraudes”.
Señala que hace poco el Tribunal Supremo ha sido muy radical en exigir a la entidad bancaria, como custodia de los fondos y cuentas de ahorro, ser responsable ante cualquier tipo de fraude o ciberataque.
“Lo importante de esta sentencia de Ciudad Real es que es de las primeras después de que el Tribunal Supremo se pronunciara acerca de la responsabilidad de los bancos en estos casos”, apunta.
Phishing
El phishing es un tipo de fraude cibernético en el que los atacantes se hacen pasar por entidades o personas de confianza—como bancos, servicios de correo electrónico o incluso amigos—para engañar a la víctima y conseguir que revele información confidencial, como contraseñas, datos bancarios o números de tarjetas de crédito. Los estafadores suelen enviar correos electrónicos, mensajes de texto o incluso comunicarse a través de redes sociales con un lenguaje alarmante o persuasivo que induce a la persona a actuar rápidamente, como haciendo clic en enlaces maliciosos o descargando archivos infectados.
Estos mensajes fraudulentos imitan las comunicaciones legítimas y se diseñan estratégicamente para parecer auténticos, de ahí que el objetivo principal del phishing sea robar información sensible y, en muchos casos, causar daños financieros o comprometer la seguridad personal.
Para protegerse del phishing es fundamental tomar medidas preventivas como verificar cuidadosamente el remitente de correos o mensajes sospechosos, no hacer clic en enlaces que generen dudas o que provengan de fuentes no verificadas, revisar la dirección URL de los sitios web antes de ingresar información personal o mantener actualizado el software de seguridad y utilizar autenticación de dos pasos siempre que sea posible.
Además, es aconsejable informarse sobre las últimas técnicas de phishing, ya que los atacantes van actualizando sus métodos para evadir las medidas de seguridad y seguir engañando a los usuarios.
