Banco Mediolanum, condenado a indemnizar con 15.570 euros a un cliente que fue víctima de ‘phishing’

Banco Mediolanum ha sido condenado como responsable de un fraude de phishing que sufrió un cliente suyo a quien los ciberdelincuentes consiguieron engañar haciéndose pasar por la entidad bancaria y, en consecuencia, se realizaron seis operaciones de pago no autorizadas por una suma total de 15.570 euros.

El Juzgado de Primera Instancia número 29 de Valencia ha declarado responsable al banco por el defectuoso funcionamiento de sus sistema de autentificación de los clientes, en su actuación como proveedor de servicios de pago; y en consecuencia, ha dictado sentencia (disponible en el botón ‘descargar resolución’) condenado a la entidad bancaria a indemnizar a la víctima, por los daños y perjuicios sufridos, con la misma cantidad que fue sustraída de su cuenta bancaria.

El abogado que ha ganado el caso, defensor del cliente bancario, Juan Pablo Palomar Pérez, socio del despacho Palomar Abogados, señala a E&J que “es esencial trasladar a todos aquellos que han resultado afectados por un phishing bancario que el hecho de haber entregado los códigos numéricos de validación al ciberdelincuente no necesariamente les impide reclamar judicialmente; los juzgados interpretan que tal acción involuntaria se enmarca en un escenario de engaño del que la víctima no se pudo sustraer, no siendo por tanto culpable de tal entrega.”

A juicio del letrado, “el cliente acude a tu despacho angustiado y con una tendencia a auto-inculparse por la entrega de los códigos al ciberdelincuente, y nosotros debemos inculcarles que la legislación otorga más trascendencia al marco de ingeniería social en que tal conducta se ha producido, y que por ello en la mayoría de estos casos no existe responsabilidad por su parte y es el banco el que debe acarrear las consecuencias de la pérdida.”

De hecho, la Sentencia de la Audiencia Provincial de Valencia declara: «Considera la entidad bancaria que la conducta del actor pudo incurrir en falta de diligencia por facilitar por teléfono los códigos recibidos en su terminal por SMS, pero ello no puede reputarse como negligencia grave, que es la única que admite el artículo 44 del Real Decreto-ley 19/2018 para exonerar al proveedor del servicio de pago de su responsabilidad».

(Imagen: E&J)

Recibió un SMS fraudulento dentro del hilo de mensajes provenientes del banco

Los hechos que han dado lugar a este litigio se remontan al 22 de abril de 2023, cuando el cliente del banco recibió en su dispositivo móvil, dentro del hilo de mensajes provenientes de Banco Mediolanum, un mensaje SMS cuyo remitente, haciéndose pasar por la entidad bancaria le comunicaba una “incidencia en su contrato online”, y a su vez le efectuaba la instrucción de que pulsase el enlace que se le adjuntaba para “evitar suspensiones adicionales”.

La víctima, otorgando credibilidad a dicho mensaje pulsó el enlace y fue instantáneamente redirigido a una página web de Internet que aparentaba pertenecer a Banco Meidolanum. En dicho momento recibió una llamada telefónica desde un número de teléfono proveniente de un sujeto que haciéndose pasar por un empleado de la entidad bancaria le indicó que, por haberse comprobado la existencia de “movimientos raros en su cuenta” era necesario y urgente que en ese preciso instante accediera su aplicación de banca online para efectuar determinadas verificaciones.

El cliente siguió las instrucciones y realizó tal acceso y en el mismo instante que lo hizo perdió simultáneamente la conexión a la banca online. El estafador que se hallaba en la línea telefónica con él en aquel momento le indicó que no se preocupara y que todas las actuaciones de regularización y cancelación de movimientos irregulares podían realizar por vía telefónica, y por último le insistió que, no obstante, debía tener presente que para ello y con objetivo de evitar la intrusión que se estaba efectuando sobre su cuentas bancaria, era preciso y urgente que le fuera suministrando telefónicamente los códigos numéricos que iba a recibir por SMS.

El cliente, que intentó conectarse a través de su Tablet a la aplicación de banco online pero no lo consiguió, en una situación de temor y presión psicológica, recibió seis mensajes SMS en su dispositivo móvil procedentes del Banco Mediolanum, los cuales, supuestamente, encajando con las explicaciones engañosas que le eran ofrecidas por el estafador, iban encaminadas a que el supuesto trabajador del banco efectuara las actuaciones de protección sobre sus cuentas.

De esta manera, la víctima fue suministrando por vía telefónica los códigos al ciberdelincuente, quien a su vez los fue introduciendo desde su propio dispositivo en la plataforma de banca online del actor a la cual se encontraba conectado, validando de esta forma seis operaciones de compra, por un valor total de 15.570 euros, efectuadas en remoto por el propio ciberdelincuente con la numeración de la tarjeta de débito y de crédito del actor.

Una vez finalizada la conversación telefónica, el cliente del banco revisó la plataforma de banca online, momento en el cual comprobó que había sido objeto de un engaño. Ese mismo día que se produjo la estafa, la víctima contactó con el Servicio de Atención Telefónica del Banco Mediolanum e interpuso una denuncia de los hechos. Y, posteriormente, reiteró su reclamación a la entidad bancaria mediante un escrito.

(Imagen: Banco Mediolanum)

El banco no actuó con la diligencia adecuada

El cliente demandó a la entidad bancaria por ser la responsable de los daños y perjuicios causados al actor al haber incumplido sus deberes y obligaciones de la normativa sobre servicios de pago —recogidos en el Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera—. En la demanda, la víctima solicitaba que se condenara al banco a indemnizarle con la cantidad de 15.571 euros por los daños y perjuicios sufridos.

Banco Mediolanum por su parte se opuso a la demanda alegando que los cargos fraudulentos en la cuenta bancaria se habrían realizado por responsabilidad exclusiva del actor, al no haber actuado con la diligencia adecuada al compartir datos bancarios que estaba obligado a preservar. Asimismo, la entidad bancaria defendía que no existía infracción alguna de la normativa que pudiese derivar en una responsabilidad extracontractual para el banco, “máxime cuando tiene implementadas (y funcionan correctamente) todas las medidas de seguridad y prevención que le son exigibles”.

Sin embargo, las alegaciones de Banco Mediolamun han sido rechazadas por el Juzgado de Primera Instancia número 29 de Valencia, cuyo magistrado ha estimado la demanda del cliente bancario y ha dictado sentencia declarando la responsabilidad de la entidad bancaria por el defectuoso funcionamiento de su sistema de autentificación de los clientes, en su actuación como proveedor de servicios de pago.

Asimismo, el Juzgado ha condenado al banco a indemnizar al cliente con la cantidad de 15.570 euros por los daños y perjuicios sufridos.

(Imagen: E&J)

Sólo un experto en la materia podría haber detectado que se trataba de un fraude

La sentencia dictada por el Juzgado ha comenzado señalando la dificultad por parte de los usuarios para detectar este tipo de fraudes, pues en estos supuestos de phishing “nos encontramos ante conductas delictivas muy elaboradas, a menudo perpetradas por profesionales del engaño, que simulan con precisión formatos auténticos de las entidades bancarias e inducen al error con cierta facilidad”. Y las dificultades para detectar estos fraudes por parte de los usuarios se evidencia ante la multitud de procedimientos penales que se tramitan en nuestros órganos judiciales por estafas de este tipo.

Para el magistrado titular, en el presente caso cobra relevancia el hecho de que el mensaje SMS que contenía el enlace a la “página espejo” a través de la cual se cometió la estafa, estuviera incardinado dentro del hilo de mensajes provenientes del propio banco, lo que pudo hacer creer fácilmente a la víctima que el remitente era un interlocutor válido.

A ello se suma la coincidencia de la llamada telefónica en dicho momento pidiéndole que accediera a su aplicación de banca online para efectuar determinadas verificaciones; y la simultánea pérdida de conexión a dicha banca conllevó al cliente a proporcionar los códigos recibidos, tal y como le fue requerido y con la intención o creencia de que se cancelarían los movimientos irregulares en su cuenta.

Además, los seis mensajes que contenían los códigos con los que se realizaron las operaciones fraudulentas sólo contenían un texto informando de que dichos códigos eran “para completar la operación que está realizando”, pero no mencionaban nada sobre una compra o transacción, por lo que los mismos razonablemente podían seguir enmarcándose en la operación de verificación que supuestamente se estaba llevando a cabo de forma telefónica.

Por lo que en estas circunstancias, el Juzgado afirma que “era preciso ser un experto en la materia para poder detectar que la comunicación obedecía a una estafa o fraude”.

(Imagen: Banco Mediolanum)

Los avisos de carácter genérico en la web del banco no es una medida de seguridad suficiente

La sentencia también ha profundizado acerca de si el banco actuó de manera diligente o no. En este sentido razona que no ha quedado acreditado que la entidad bancaria haya actuado con una diligencia adecuada a las circunstancias del caso.

El deber de diligencia de las entidades bancarias debe llevar a las mismas a diseñar sistemas de control ante movimientos inusuales o ante cargos que se salgan de lo habitual. Y en lo que se refiere a la actuación diligente de los bancos, la misma no se puede limitar únicamente a lo previsto reglamentariamente; es decir, que no basta con medidas genéricas de protección o avisos estereotipados de cuidado, pues tales avisos ostentarían la calificación de “fórmulas predispuestas” vacías de contenido.

Pues, una actuación diligente por parte del banco no puede considerarse acreditada con las informaciones que se facilita a los clientes a través de su página web, en cuanto la efectividad de esas obligaciones preventivas, sino que lo que requiere es que el banco implemente en el sistema informático el mecanismo tecnológico adecuado para evitarlo; es decir, “mediante una conducta activa y no simplemente informativa o divulgativa”.

En el presente caso, so se ha probado que la mercantil demandada hubiera proporcionado al cliente de forma personalizada los mecanismos anti-phishing de supervisión suficientes y de carácter reforzado para detectar y evitar este tipo de fraude, sin que puedan resultar suficientes los avisos de carácter genérico de la web del banco.

“No son los clientes los que deben prevenir ni averiguar las modalidades de riesgos que el sistema conlleva, o estar al tanto de los mismo, ni prevenir con sus asesoramiento experto dichos riesgos”, afirma el Juzgado.

“Es el banco quien ofrece este producto —banca online—, en principio seguro, y es cierto que remite varios avisos y advertencias genéricas sobre su utilización; pero conociendo los distintos riesgos de los que avisa, le corresponde adoptar las medidas de seguridad o control necesarias, que en este caso no consta que se adoptaran”, ha fallado el Juzgado.