Las sentencias relacionadas con ciberdelincuencia y estafas online son cada vez más habituales, evidenciando que la incidencia de estas practicas delictivas no deja de aumentar. La más reciente conseguida por nuestro despacho es la dictada por el Juzgado de Primera Instancia e Instrucción número 1 Vic (Barcelona) que obliga a la entidad Caixa d’Enginyers a devolver los 5260 euros sustraídos por delincuentes cibernéticos de la cuenta corriente de una clienta de la entidad catalana mediante una transferencia realizada sin el consentimiento ni el conocimiento de la afectada
El pasado 21 de octubre de 2021, la clienta fue consciente de que ese dinero había desaparecido de su cuenta sin que ella hubiera ordenado y autorizado la operación. En ese momento, la afectada interpuso denuncia ante los Mossos d’Esquadra y lo comunicó de inmediato al servicio de atención al cliente de la entidad. Sin embargo, la gestión resultó infructuosa, pues transcurridos tres meses desde los hechos delictivos, Caixa d’Enginyers comunicó a su clienta que había sido imposible recuperar el dinero porque ya habían sido retirados de la cuenta de destino de la transferencia fraudulenta. En la misma comunicación, la entidad informaba a la afectada que declinaba cualquier responsabilidad sobre los hechos, argumentando que la transferencia había sido realizada a través del servicio de banca online utilizando las contraseñas correctas y que la operación había sido validada mediante el envío de un código de verificación dirigido al número de móvil de la titular de la cuenta. Siendo así, y como suele ser habitual, el banco afirmaba que si alguien había tenido acceso a los datos enviados al número de teléfono de la afectada sólo podía ser consecuencia de la propia negligencia de la perjudicada.
Una práctica cada vez más habitual
Ante la negativa de la entidad a asumir cualquier tipo de responsabilidad sobre los hechos ocurridos, la víctima acudió a nuestro despacho para reclamar judicialmente la devolución del dinero que habían sustraído de su cuenta afirmando, tal y como ha quedado acreditado, que los mensajes para verificar y confirmar la operación nunca llegaron a su teléfono móvil y, por tanto, no fue ella quien autorizó la transferencia. Un extremo confirmado por las pruebas periciales realizadas que demuestran que el mensaje de confirmación se envió al número de la clienta, pero en lugar de llegar a su teléfono, lo hizo a un dispositivo distinto, que obraba en poder de los piratas informáticos responsables de la estafa.
«Las entidades financieras son responsables de garantizar la seguridad del entorno cibernético que ponen a disposición de sus clientes y de velar por proteger los intereses de los usuarios que lo utilizan»
Este método de estafa, por desgracia, se está convirtiendo en uno de los más habituales, bien sea porque los ciberdelincuentes consiguen obtener fraudulentamente una copia de nuestra tarjeta SIM o a través de la instalación de un programa malicioso en nuestro propio teléfono para desviar las comunicaciones recibidas. De este modo, a través de los datos personales que consiguen, acceden a nuestras cuentas y ordenan transferencias que, posteriormente, son los propios piratas informáticos quienes las validan. Y todo ello sin que tengamos constancia en ningún momento de lo que está sucediendo.
Obligación de supervisar las operaciones
Sin embargo, tal y como recuerda la sentencia, las entidades financieras son responsables de garantizar la seguridad del entorno cibernético que ponen a disposición de sus clientes y de velar por proteger los intereses de los usuarios que lo utilizan. Este deber incluye la obligación de analizar las operaciones realizadas y no autorizarlas hasta constatar de forma fehaciente que es su cliente y no otra persona suplantando su identidad con fines delictivos quien está ofreciendo su consentimiento. La responsabilidad de las entidades es, en términos jurídicos, ‘casi objetiva’ y eso significa que ante un caso de ciberdelincuencia, el banco sólo puede eximirse de responsabilidad si logra demostrar que los delincuentes han accedido a los datos personales de la persona estafada como consecuencia única y exclusivamente de una grave negligencia por parte de la propia persona. Y al respecto es importante remarcar dos cuestiones: es el banco quien debe demostrar que ha habido negligencia y ésta debe ser grave.
«El banco sólo puede eximirse de responsabilidad si logra demostrar que los delincuentes han accedido a los datos personales de la persona estafada como consecuencia única y exclusivamente de una grave negligencia por parte de la propia persona»
Por desgracia, las entidades en pocas ocasiones actúan según determina la legislación vigente y suelen declinar la responsabilidad que la normativa les otorga, obligando a las víctimas de estafas cibernéticas a acudir a los juzgados para ver reconocidos sus derechos. Ello a pesar de que la Ley de Servicios de Pago señala con claridad que las únicas operaciones válidas son aquellas que cuentan con el consentimiento de la persona ordenante y, por tanto, cuando un usuario niega haber otorgado este consentimiento, las entidades están obligadas a devolverle de forma inmediata el importe de la operación. Pero los bancos acostumbran a ignorar estas previsiones y obligan a sus clientes a reclamar ante los juzgados, demorando la restitución de un dinero que se les ha sustraído por incumplimiento del deber del banco de garantizar la seguridad de las operaciones.
Afortunadamente, los tribunales acostumbran a fallar a favor de los afectados, pues estas estafas en muy pocas ocasiones están favorecidas por la negligencia de los clientes. Al contrario, si cada vez existen más casos no es porque la gente descuide sus precauciones sino porque los métodos empleados por los ciberdelincuentes son cada vez más sofisticados y peligrosos.
Por tanto, y para finalizar, si hemos sido víctimas de phishing recordad: imprescindible presentar denuncia ante los cuerpos policiales y comunicarlo al servicio de atención al cliente de nuestra entidad lo más rápidamente posible. En el caso probable de que no atiendan nuestra reclamación, consultad con un profesional experto. Es muy posible que consigáis obtener la devolución de lo que os han sustraído.
mala práctica bancaria 