El recorrido judicial contra el phishing y las ciberestafas todavía es breve. De hecho, demasiado breve si consideramos que diariamente hay cientos de personas en toda España (más de 300 al día solo en Cataluña) afectadas por estafas digitales y robo de datos personales. Pero a pesar de la incidencia cada vez más grave de este fenómeno delictivo, apenas han transcurridos unos meses desde que el Tribunal Supremo se pronunció por primera vez sobre el tema, en mayo de este mismo año. Buena prueba de que todavía queda camino por recorrer en la defensa jurídica de las víctimas.
Afortunadamente, este camino es esperanzador para todas las personas afectadas por la actividad de hackers y cibercriminales. Así, del mismo modo que en la única ocasión que el Tribunal Supremo ha resuelto un caso relacionado con las estafas digitales lo hizo para indicar la responsabilidad inequívoca de los bancos a la hora de proteger nuestro dinero y prevenir y detectar acciones delictivas, cada vez son más frecuentes las sentencias de juzgados de primera instancia y audiencias provinciales que profundizan en esta misma línea protectora. En nuestro despacho, esta misma semana hemos recibido una de estas sentencias que refuerzan el derecho de los usuarios de banca a reclamar la devolución del dinero sustraído por delincuentes informáticos cuando la entidad no ha sido capaz de garantizar la seguridad del entorno digital y ha incumplido su deber de detectar operaciones cuyo origen se podía deducir que era delictivo y fraudulento.
En manos de falsos inversores
La sentencia, en la que yo mismo ejercí la defensa del cliente afectado, es del Juzgado de Primera Instancia nº 5 de Barcelona y estima íntegramente la demanda que presentamos contra el BBVA, condenando al banco a devolver más de 52.000 euros a un cliente que fue víctima de una estafa digital. Por desgracia, no es un caso aislado. Cada vez son más frecuentes las situaciones en que personas —a menudo vulnerables— caen en trampas diseñadas con precisión por ciberdelincuentes. En este caso, nuestro cliente, una persona mayor con importantes problemas físicos, fue engañado por una falsa plataforma de inversión que operaba bajo el nombre de Leotradez. Después de una primera “inversión” aparentemente exitosa, los estafadores le convencieron para instalar en su teléfono móvil la aplicación Anydesk. Con ella, accedieron a distancia a su dispositivo y, con él, a sus claves bancarias.
La noche del 17 de agosto de 2023, contrataron en su nombre y sin su consentimiento un préstamo de 50.000 €, que fue inmediatamente transferido a una cuenta en Suiza. Al día siguiente, el cliente acudió a su oficina bancaria y también llamó por teléfono para alertar de lo sucedido. Pero el BBVA no hizo absolutamente nada. No bloqueó la cuenta y no impidió que en días sucesivos y con posterioridad a haber sido advertidos de lo sucedido, los delincuentes ordenaran nuevas transferencias bancarias. Y como es habitual, el banco se negó a revertir las operaciones fraudulentas o devolver lo sustraído, tal y como la legislación indica que deben hacer cuando el cliente afirma no haber prestado su consentimiento a las operaciones denunciadas.
Incumplimiento del deber de protección
En su sentencia, la jueza es contundente: fue la actuación deficiente del banco y el incumplimiento del deber de protección y custodia la que permitió que el delito se consumara. No hubo negligencia por parte del cliente. No facilitó claves, no se registró en servicios fraudulentos ni pulsó enlaces maliciosos. Fue un engaño bien diseñado que el banco no supo detectar y, después, no quiso detener, como podía haber hecho.
Una vez más, en este caso se volvió a evidenciar que los sistemas de seguridad y prevención de las entidades no están a la altura de lo que la legislación vigente exige. Y tampoco a la altura del nivel de amenaza que soportamos los usuarios de banca en un entorno de absoluta digitalización. Los bancos tienen la obligación de detectar patrones inusuales de conducta y paralizar las operaciones sospechosas de tener origen en actividades fraudulentas hasta tener la certeza de que se trata de operaciones lícitamente autorizadas por sus clientes. Así lo establece la ley. ¿Cómo no saltaron las alarmas cuando, de repente, una persona que jamás había transferido dinero al extranjero, solicita un préstamo y lo envía a una cuenta suiza? Eso debería haber activado inmediatamente los protocolos de seguridad del banco. Y aún más cuando el propio cliente lo denunció al día siguiente. Pero no. El banco permitió que siguieran las transferencias durante varios días más.
Y aún hay más. La sentencia también señala otro punto importante: el préstamo no debió haberse concedido de forma automática, sin una mínima verificación de la solvencia y capacidad de pago del cliente. Otra muestra de la mala praxis de la entidad.
Desgraciadamente, como decía al principio de esta entrada, el caso de este cliente no es una excepción. Cada semana atendemos en nuestro despacho a personas con relatos casi idénticos: un falso inversor, una primera operación con buenos resultados, la instalación de un programa de acceso remoto como Anydesk o Teamviewer con la excusa de poder gestionar la cuenta abierta con los supuestos inversores y, en pocos días, transferencias no autorizadas e incluso, como aquí sucedió, préstamos no solicitados que el banco después no duda en reclamar. Por eso es importante que estas resoluciones judiciales se den a conocer: para que todos y todas seamos consciente de que los bancos tienen responsabilidades y que la ley protege a las víctimas cuando no hay culpa ni imprudencia por su parte.
Queda mucho camino por recorrer en la lucha contra las ciberestafas, tanto en los juzgados como fuera de ellos, a nivel de formación y concienciación sobre el peligro al que estamos expuestos. Por suerte, este camino empieza a tener luces que lo iluminen, como esta sentencia.
mala práctica bancaria 