La Audiencia Provincial responsabiliza a Unicaja de un caso de «phishing» de 27.500 euros
Asturias
En este caso, los ciberdelincuentes vaciaron la cuenta de la afectada, una clienta asturiana de la entidad, y contrataron sin su consentimiento un préstamo y una tarjeta prepago. La Audiencia obliga a devolver la cuenta al estado previo al fraude y recalca que las entidades tienen una responsabilidad «prácticamente objetiva» como garantes de la seguridad de los fondos de los usuarios
22 Jan 2025. Actualizado a las 05:00 h.
La sección cuarta de la Audiencia Provincial de Oviedo acaba de desestimar el recurso de Unicaja frente a una clienta asturiana y responsabiliza a la entidad financiera de la comisión de un fraude de 27.500 euros por parte de un tercero, tras la contratación fraudulenta de un préstamo y una tarjeta prepago. En este caso concreto, los ciberdelincuentes vaciaron la cuenta de la afectada y, además, lograron contratar sin su consentimiento un préstamo y una tarjeta prepago que ahora la sentencia anula por «causa torpe». En el fallo, la audiencia desestima el recurso de apelación interpuesto por el banco frente a la sentencia del Juzgado de Primera Instancia de Cangas de Onís de 9 de mayo de 2024.
El caso se remonta al 27 de abril de 2022. Ese día, en torno a las 10.15 horas, la afectada formuló una denuncia ante la Guardia Civil explicando que había recibido una llamada de la entidad bancaria objeto del litigio, en la que se le informaba de varios movimientos en su cuenta, entre ellos un préstamo por importe de 27.500 euros, seguido de varias operaciones (compras online, bizum y recargas de tarjeta), movimientos que no habían sido realizados ni autorizados por ella.
En la denuncia, la mujer también hacía referencia a que el día anterior había recibido dos llamadas de alguien que se identificó como empleado de su operadora de telefonía en las que se indicaba que su teléfono estaba vinculado a varias compras de juegos instalados en el terminal de su esposo, añadiendo que en esa conversación no había facilitado datos bancarios ni de ninguna clase, limitándose a confirmar que era la titular de las líneas.
A raíz de las diligencias iniciadas, una empleada de la entidad bancaria remitió a la Guardia Civil el mismo día 27 un correo electrónico en el que se dejaba patente la sospecha de que su teléfono móvil había sido hackeado. La denunciante señaló que no había usado nunca la banca digital, añadiendo que hasta entonces únicamente había recibido mensajes en su móvil en los que se le notificaban los sucesivos cargos o abonos que existían en su cuenta.
En esa secuencia de mensajes aparece, efectivamente, que el día 26 de abril se remitieron dos códigos, a los que siguió después el envío del número de usuario de la banca digital, así como la clave correspondiente para acceder a ella. A ello le siguió después un mensaje relativo a la vinculación de un dispositivo a la banca digital, y, a partir de ese instante, toda una serie de operaciones con las que se consumó el fraude, las cuales se sucedieron entre el día de la denuncia y el 2 de mayo siguiente, fecha en la que la cuenta quedó bloqueada, si bien en esos días se produjeron algunos reintegros.
En su resolución, la Audiencia destaca que «el avance tecnológico debe ser acompañado por la protección reforzada de quien se expone a actuaciones fraudulentas, no por un traslado del riesgo hacia el cliente». Bajo este criterio, el fallo obliga a Unicaja a devolver la cuenta al estado previo al fraude y asumir las costas procesales, recalcando que las entidades financieras tienen una responsabilidad «prácticamente objetiva» como garantes de la seguridad de los fondos de sus clientes.
Desde el despacho Sello Legal consideran que, ante este ataque de «phishing» y «smishing», el tribunal ha considerado «que la entidad no pudo demostrar la autorización legítima de las operaciones ni la diligencia debida en la protección de la cuenta».
En esta línea, este equipo de abogados recalcan que la contratación se hizo «de forma instantánea, por internet y las claves se enviaron al teléfono previamente dado de alta por los ciberdelincuentes sin ningún tipo de cortapisa por la entidad financiera».
Iñigo Serrano, letrado de Sello Legal y de la víctima, resalta la claridad de la sentencia, ya que subraya que las entidades financieras «tienen una responsabilidad reforzada en la protección de los fondos». El juez ha concluido que Unicaja Banco «no adoptó las medidas de seguridad exigibles para evitar este fraude» y, además, «no logró demostrar que las operaciones se hubiesen autorizado legítimamente».
Serrano considera que, con este pronunciamiento, se da «un paso más en la defensa de los usuarios de banca frente a estafas cibernéticas». Asimismo, destaca la importancia de que los clientes «conozcan sus derechos y exijan a las entidades bancarias la aplicación de sistemas de seguridad más robustos y protocolos que garanticen la detección temprana de operaciones irregulares». De lo contrario, «como en este caso, cualquier vulneración de la seguridad debe ser asumida por la entidad, no por el cliente».
Concluye señalando que este caso es particular por cuanto «los ciberdelincuentes no solo vaciaron la cuenta, sino que lograron contratar sin el consentimiento del cliente un préstamo y una tarjeta prepago que ahora la sentencia anula por causa torpe».