Unicaja, condenada a reintegrar casi 40.000 euros estafados a un cliente por fallos en su sistema de seguridad

El Juzgado de Primera Instancia número 4 de Gijón ha condenado a Unicaja a devolver a un cliente los 39.600 euros que le fueron saqueados de su cuenta por ciberdelincuentes mediante la estafa conocida como smishing, durante la fusión con Liberbank, porque la entidad no ha probado que contara con medidas de seguridad adecuadas. 

A dicha cantidad se le sumarán los intereses legales desde su primera reclamación, en junio de 2022.

De esta forma, la magistrada Diana Corredera Bermúdez ha estimado íntegramente la demanda presentada por la Unión de Consumidores de Asturias, en nombre de un socio.

Aprovechando el proceso de fusión de Unicaja con Liberbank, entre mayo y junio de 2022, ciberdelincuentes se hicieron con decenas de datos bancarios de usuarios de su banca electrónica. Les enviaron correos electrónicos suplantando a la entidad –phishing– y mensajes a sus teléfonos móviles –smishing–, en los que, haciéndose pasar por el banco, pedían que actualizaran los datos de su cuenta.

La excusa frecuentemente utilizada, como sucedió en este caso, es la de informar sobre un acceso no autorizado a las cuentas online, de tal modo que los clientes, alertados ante esa circunstancia, intentan comunicar con el banco cuando en realidad lo que hacen es facilitar sus datos bancarios al defraudador.

Estos mensajes imitaban el diseño, apariencia y logos utilizados por la entidad financiera para comunicarse con sus clientes, algunos de los cuales vieron cómo les sacaban de sus cuentas hasta 72.000 euros.

La Unión de Consumidores de Asturias gestiona «más de 400 ciberestafas de clientes de Unicaja en Asturias», por un importe total superior a los dos millones de euros, con una media de 5.000 euros por afectado, según informa a Economist & Jurist el presidente de la entidad, Dacio Alonso González. Señala que «pueden ser miles las víctimas en toda España entre los clientes de la antigua Liberbank y Unicaja».

Dacio Alonso, presidente de la Unión de Consumidores de Asturias. (Imagen: Unión de Consumidores)

Hasta el momento, esta organización cuenta ya «con más de 40 sentencias» que condenan al banco y tiene «confirmación del abuso por parte de todas las secciones de la Audiencia Provincial». 

Dacio Alonso señala que las distintas sentencias ganadas acreditan que la entidad no dispuso de un sistema de seguridad que garantizase las cuentas y depósitos de los clientes, que es la primera obligación del banco, y que, por lo tanto, a la entidad corresponde asumir las consecuencias y «no culpabilizar, como está haciendo, a la clientela víctima de estos fraudes».

Además, asegura que la brecha digital sigue abierta y provocado indefensión a los clientes. 

Ante esta situación, el presidente de la Unión de Consumidores de Asturias denuncia «la indolencia y el desprecio de Unicaja por los cientos/miles de clientes que se sienten doblemente estafados, por una parte, por los ciberdelincuentes que saquearon sus cuentas, y por otra, por su propia entidad, que además de dejarles tirados, les culpabiliza».

Según explica, «más de un millar de familias en Asturias y cerca de 10.000 en el resto de España siguen esperando que Unicaja les devuelva el dinero saqueado de sus cuentas bancarias por la negligente actuación de la entidad, que no implementó medidas de refuerzo y seguridad antiphishing cuando se unificaron las plataformas de Liberbank y Unicaja hace dos años».

Esta asociación denuncia que «Unicaja pretende retrasar lo más posible el reintegro de las cantidades sustraídas a sus clientes, a los que no protegió adecuadamente, según confirman todas las sentencias».

(Imagen: Unicaja)

El caso

En este caso, los días 11 y 12 de junio de 2022 se produjeron cuatro cargos en la cuenta corriente de este cliente, al haber sido víctima de una operación fraudulenta, tras haber recibido su hijo SMS que tenían apariencia de ser auténticos, puesto que figuraban como remitidos por Unicaja y le llevaban a una web que aparentaba ser la de la entidad, pero era un clon de la real.

El hijo del demandante comprobó que efectivamente se había producido un intento de acceso a su web, lo que reforzaba la apariencia de veracidad del origen del mensaje y de su contenido. Tras ello, recibió llamadas del número de atención de urgencias de Unicaja, y comprobó que era el teléfono que aparece en la página web antes de contestar a una segunda llamada. 

Entonces, a raíz de esta última llamada, introdujo las claves, que permitieron realizar el transferencias fraudulentas. El fraude informático comportó cuatro transferencias cargadas en su cuenta. 

Unicaja culpaba al cliente

El afectado presentó una demanda contra Unicaja, articulada por el abogado de la Unión de Consumidores de Asturias José Antonio Ballesteros Garrido, por no disponer de medidas de seguridad adecuadas para evitar tales operaciones fraudulentas.

La entidad financiera se oponía a reembolsar al cliente las cantidades defraudadas aduciendo que éste había cometido una negligencia grave al haber introducido las claves (usuario y contraseña) que permitieron la vinculación del dispositivo y el acceso de los estafadores a su banca digital.

La juez explica que ha resultado «acreditado el acceso irregular a la banca digital del demandante, sin que pueda apreciarse negligencia grave en su actuación», atendida su testifical en el juicio, mientras que Unicaja «no ha conseguido probar que cuenta con medidas de seguridad adecuadas, pretendiendo imputar al cliente tales operaciones fraudulentas, que, sin duda resultan indetectables si no eres experto informático». 

Además, indica que el demandante aporta un informe pericial que concluye que “el usuario de banca electrónica común no es capaz de reconocer que está inmerso en un fraude electrónico» por una serie de razones, entre ellas que los mensajes SMS fraudulentos que inician el fraude se agrupan automáticamente con los legítimos siendo imposible diferenciarlos entre sí; y que el envío de mensajes SMS con enlaces hacia páginas web es una práctica habitual que se ha venido realizando tanto por entidades bancarias como por otros organismos públicos y privados. En muchas ocasiones, estos enlaces son total o parcialmente opacos.

(Foto: E&J)

A ellas se suman que «el enlace enviado en los mensajes SMS lleva a páginas que se sirven bajo un protocolo seguro y visualmente similares a las originales de la entidad financiera; el descubrimiento del fraude a partir del análisis de las direcciones contenidas en los mensajes requiere de habilidades técnicas especializadas; y que la operativa para la realización del ciberataque que es similar a la operativa convencional del banco”. 

«El sistema de SMS no es seguro ni adecuado y el banco debe cambiar de operativa»

Añade que «Unicaja envía a sus clientes mensajes SMS y correos electrónicos que incluyen enlaces hacia portales web donde se les acaba requiriendo su usuario y contraseña”; que la entidad bancaria “utiliza para su sistema de autenticación reforzada mensajes SMS que como bien indica el Banco de España es un medio inseguro; que este canal de comunicación ya no es utilizado por la mayoría de los bancos por sus problemas de suplantación”; y que «las estafas no habrían podido ser realizadas de haber tenido las medidas de seguridad que el banco asegura tener implantadas en la actualidad”. 

La juzgadora se remite «a las oportunas explicaciones ofrecidas por el perito autor del informe en el acto de la vista, debiendo destacarse que fue tajante al afirmar que el sistema de SMS no es seguro ni adecuado y el banco debe cambiar de operativa».

La sentencia, dictada el pasado 22 de julio (363/2023), todavía no es firme, ya que contra la misma cabe recurso de apelación ante la Audiencia Provincial de Asturias. 

La Unión de Consumidores reclama al Banco de España que tome cartas en este tipo de delitos

«Desde la Unión de Consumidores hemos querido facilitar a los jueces cómo es la operativa de los delincuentes bancarios y a la vez demostrar que los bancos, en este caso Unicaja, no tienen las medidas de seguridad adecuadas para proteger a sus clientes, y en todas las sentencias los jueces valoran muy positivamente la aportación que hacen en Sala estos peritos», señala Dacio Alonso.

Para ello, ha contratado a peritos informáticos de la Universidad de Oviedo «que están desarrollando una labor muy importante para proteger a los consumidores frente a este tipo de delincuencia que ya está siendo el tema estrella en la delincuencia que afecta a los ciudadanos, según los datos del propio Ministerio del Interior».

«El Banco de España tiene que tomar de una vez cartas en este asunto porque este tipo de delitos están provocando la desconfianza de los consumidores en la operativa bancaria», subraya.

Edificio del Banco de España (Foto: E&J)