Unicaja, condenada a devolver 24.000 euros sustraídos al administrador de una empresa mediante ‘phishing’

Unicaja Banco, S.A., ha sido condenada a devolver 24.000 euros al administrador de una empresa al declararse la responsabilidad de la entidad bancaria, en su condición de proveedor de servicios de pago, en un phishing bancario.

El Juzgado de Primera Instancia e Instrucción número 1 de Burgo de Osma (Soria) considera que la entidad bancaria incurrió en una deficiencia de seguridad al no activar los pertinentes protocolos con el fin de evitar que un ciberdelincuente sustrajera, a través de dos transferencias bancarias fraudulentas, una suma total de 24.000 euros de la cuenta corriente de la empresa clienta.

La sentencia, a la que ha tenido acceso Economist & Jurist, ha sido dictada este lunes, 22 de julio. El fallo completo está disponible en el botón ‘descargar resolución’, y el caso ha sido ganado por el letrado Juan Pablo Palomar, socio de Palomar Abogados, bufete al que fue encargada la asistencia letrada de la compañía afectada. A este respecto, Palomar comenta a E&J que resulta de particular interés el modus operandi del ciberdelincuente en esta estafa. Esta manera de actuar se conoce como “spoofing telefónico”, e implica “un paso más en la sofisticación del phishing o engaño al que están expuestos los clientes de las entidades bancarias”.

El ciberdelincuente se hizo pasar por un empleado del banco

(Imagen: E&J)

El 5 de marzo de 2023, sobre las 21.00 horas, el administrador de la empresa afectada recibió una llamada telefónica que aparentemente parecía ser de Unicaja Banco, ya que la misma apareció registrada en la bandeja de llamadas entrante de su dispositivo móvil como proveniente de “Unicaja”.

Sin embargo, lejos de la realidad, se trataba de un ciberdelincuente que, a través de una artimaña tecnológica, “encapsuló” el número de teléfono del banco. De esta forma, en el dispositivo móvil del administrador de la empresa aparecía que le estaba llamando “Unicaja” desde el número oficial del Servicio de Atención al Cliente del banco.

Haciéndose pasar el ciberdelincuente por un empleado de la entidad bancaria, ya que se identificó con tal puesto profesional, comunicó al afectado que se estaba solventando una incidencia de seguridad, en concreto, le dijo al afectado que en ese preciso momento un tercero estaba intentado efectuar, con cargo a la cuenta de titularidad de la empresa de la que este es administrador, dos transferencias de 12.000 euros cada una.

Por lo que el ciberdelincuente le persuadió de que, a fin de proceder a la cancelación de dichas transferencias, era preciso que le suministrara dos códigos numéricos que inmediatamente recibiría por mensaje SMS en su teléfono móvil.

El administrador de la mercantil, convencido de que desde Unicaja Banco se le estaba protegiendo frente a un riesgo sobre la cuenta bancaria, suministró verbalmente al ciberdelincuente los códigos según los fue recibiendo. Como consecuencia, en escasos segundos el ciberdelincuente realizó dos transferencias bancarias fraudulentas en la cuenta corriente, cada una de ellas por la cantidad de 12.000 euros.

(Imagen: E&J)

Unicaja Banco deberá indemnizar a la víctima con 24.000 euros

La parte afectada demandó a Unicaja solicitando que se declarase al banco responsable de los daños y perjuicios causados a sus clientes y, en consecuencia, se le condene por dolo y/o negligencia en el cumplimiento de sus obligaciones a indemnizar al cliente con 24.000 euros, cantidad equivalente a la pérdida patrimonial experimentada.

La demanda ha sido estimada íntegramente por el Juzgado de Primera Instancia e Instrucción número 1 de Burgo de Osma al razonar la jueza titular que “el fraude ha quedado perfectamente acreditado” gracias a la presentación de la denuncia ante la Guardia Civil y las capturas de pantalla de los mensajes remitidos por el ciberdelincuente.

Además, en el presente caso, la entidad bancaria no ha probado la falta de diligencia del usuario al no haber contestado a la demanda y no haber aportado ninguna prueba destinada a tal fin.

La sentencia recuerda que debe tenerse en cuenta que estos mecanismos de pago, tanto por medios de tarjetas como a través de la banca a distancia o digital, no solo los articula la entidad financiera a través de las correspondientes aplicaciones y software, sino que potencia su utilización por los clientes y usuarios bancarios, “por lo que tiene y debe implementar todas las medidas de seguridad necesaria para evitar fraudes, incluida la suplantación de identidad”.

Asimismo, la jueza titular del Juzgado señala que en caso de que fraude sea externo, es decir, a través de estafas informáticas, “lo único que puede exigirse al usuario es que el dispositivo que utilice para la realización de este tipo de operaciones tenga un mantenimiento de seguridad”.

En consecuencia, se declara a Unicaja Banco responsable de los daños y perjuicios causados al actor y se condenada a la entidad a indemnizar a la víctima con la cantidad de 24.000 euros.

(Imagen: E&J)

Unicaja debió haber detectado la irregularidad

El letrado Juan Pablo Palomar, socio de Palomar Abogados, bufete al que fue encargada la asistencia letrada de la compañía afectada, comenta a E&J “los servicios web de telefonía han sustituido a la telefonía analógica tradicional, ofreciendo funciones o servicios adicionales de muy bajo coste, entre los que se encuentra la anonimización o sustitución de identidad de llamada, en virtud del cual el contratante de tal servicio puede elegir el número identificador de llamada que se muestre al receptor de la misma, sin perjuicio de que el número real de la llamada saliente sea otro diferente”, señala el abogado, “ello ha sido astutamente aprovechado por los ciberdelincuentes, para hacer un uso delictivo de tal servicio y utilizarlo como señuelo para secuestrar la voluntad de los clientes bancarios”.

Según afirma el letrado Juan Pablo Palomar, “Unicaja Banco debió haber detectado la irregularidad a través de sus registros de trazabilidad, lo que la hizo responsable del daño producido, dado que de haber sido aquellos correctamente gestionados habría resultado posible detectar el engaño”.

En opinión del abogado, “el hecho de que la Directiva 2015/2366, reguladora de la autenticación del cliente bancario, garantice la neutralidad tecnológica, el modelo de negocio y la competencia justa entre las entidades financieras a la hora de diseñar sus sistemas se seguridad, no justifica que, en pro de un ahorro presupuestario, algunas de ellas probablemente no hayan ‘medido’ de forma adecuada en sus procesos tecnológicos necesidades objetivas y evidentes, con la consiguiente puesta en riesgo de los usuarios”.