Premium
ITTIBBVA, condenado a indemnizar con casi 3.000 euros a un cliente víctima de ‘phishing’
Un Juzgado de Alcoy rechaza el valor probatorio del dictamen pericial aportado por la entidad bancaria
(Imagen: BBVA)
BBVA, condenado a indemnizar con casi 3.000 euros a un cliente víctima de ‘phishing’
Un Juzgado de Alcoy rechaza el valor probatorio del dictamen pericial aportado por la entidad bancaria
(Imagen: BBVA)
El Juzgado de Primera Instancia número 2 de Alcoy (Alicante) ha condenado al BBVA a reintegrar casi 3.000 euros a una cliente del banco que sufrió una estafa de phishing.
La sentencia dictada el pasado 20 de febrero, y a la que ha tenido acceso Economist & Jurist, ha rechazado el valor probatorio del informe pericial informático aportado por la entidad y afirma que el banco incumplió su obligación contractual de atender la reclamación ante un cargo no autorizado por el particular, generando en éste daños y perjuicios.
La defensa legal de la cliente, que ha estado a cargo de Juan Pablo Palomar, del despacho Palomar Abogados, afirma que «en el curso del interrogatorio al perito de BBVA pudimos probar que, contrariamente a lo alegado en el informe pericial de la entidad bancaria, remitir unos mensajes SMS con un código numérico de validación al usuario bancario no significa necesariamente que éste los haya recibido; en apoyo de nuestra tesis, aportamos documentos en los que responsables de información de la Policía Judicial, especialistas en forensía digital, afirman la posibilidad real de interceptación de tales mensajes SMS».
El SMS apareció en el hilo de mensajes que enviaba el banco
La cliente tiene contratada con BBVA una tarjeta de crédito, así como un contrato de servicios de banca online. Únicamente se conectaba a la cuenta online desde dos dispositivos, desde el ordenador fijo de su domicilio y desde su teléfono móvil. Sin embargo, el 13 en junio de 2022, a las 19:15 horas, la plataforma de banco online de la actora sufrió un ciberataque a través del envío de un mensaje SMS a su dispositivo móvil, con la apariencia de haber sido remitido por BBVA, entremezclado dentro del hilo del mensaje auténticos provenientes de tal entidad bancaria.
El SMS contenía el siguiente mensaje: “Su cuenta ha sido suspendida. Por seguridad es obligatorio instalar BBVA Protect para prevenir mensaje fraudulentos”, incorporando al final del mensaje un enlace de descarga a una URL que aparentemente parecía ser la del banco.
La mujer creyendo que tal mensaje provenía realmente de su entidad bancaria, al constatar que se entremezclaba dentro del hilo de mensajes de BBVA, junto a mensajes auténticos de tal entidad, al visualizar que mostraba un link encabezado por la extensión “https” (normalmente perteneciente a páginas web verdaderas), y que le mismo hacía constar la leyenda “BBVA”, en la convicción de que se pretendía protegerle frente a una utilización fraudulenta de su tarjeta de pago, pulsó dicho enlace, que le redirigió a través de la web internet a un dominio de internet que a su vez aparentaba la página web de BBVA, donde se le solicitó y facilitó el DNI y contraseña, creyendo estar al habla con un empleado de la entidad.
Ese mismo día, pocos minutos después, y sin que la mujer recibiera ningún SMS alguno de BBVA con clave de autentificación de doble factor, se produjeron trece operaciones de pago no autorizadas con su tarjeta de crédito, asciendo la suma de tales operaciones a 2.795 euros.
(Imagen: E&J)
BBVA se negó a asumir su responsabilidad
La cliente interpuso denuncia policial al día siguiente, cuando se percató de los movimientos no autorizados en su tarjeta, y reclamó al BBVA la devolución de los pagos fraudulentos al haberse tratado de una estafa y siendo su entidad responsable de ello, pero el banco desestimó la reclamación. Asimismo, la mujer reclamó ante el Banco de España y también realizó otra reclamación mediante carta a su entidad bancaria.
Ante la negativa del BBVA a reintegrarle el dinero sustraído, la actora demandó al banco, alegando que existiría responsabilidad de la entidad por haber podido disponer de trazabilidad de la aplicación, evidenciando que las conexiones se habrían efectuado desde un dispositivo distinto de los habituales; por no existir negligencia de la cliente al ser que las claves de seguridad fueron conservadas diligentemente y no existir sustracción de la tarjeta ni la numeración identificativa de tal documento, ya que nunca fue guardada junto a su instrumento de pago ni en formato abierto detectable por terceros. Asimismo, también culpaba al banco por no haber autentificado adecuadamente la operación.
El BBVA por su parte se oponía a dicha demanda formulada contra la entidad alegando que la cliente no ha cumplido ninguna de sus obligaciones y que la responsabilidad sería de ella por haber revelado los datos de acceso a su banca electrónica y el numero de la tarjeta y CVV de la misma. El banco también afirmaba que las operaciones fueron autentificadas con los correspondientes códigos OTP remitidos a su teléfono móvil, y que la entidad ya había advertido a sus clientes de que tomaran medidas para evitar estos fraudes.
(Imagen: E&J)
Rechazado el valor probatorio del informe pericial del banco
El Juzgado de Primero Instancia número 2 de Alcoy ha estimado la demanda de la cliente al fallar que, en efecto, la estafa sufrida fue responsabilidad del banco, condenando a la entidad a pagar 2.795 euros, cantidad que fue extraída de la cuenta.
La sentencia razona que no ha quedado acreditado que la mujer cometiera fraude ni negligencia grave por su parte por la recepción del SMS en las circunstancias antes descritas, quien confiada en que el mensaje llegó por el mismo canal que otras veces se había comunicado con el banco y que la web espejo empleada en la estafa era muy similar a la de la entidad, estaba convencida de que el mensaje provenía realmente del BBVA.
Sin embargo, la entidad bancaria sí que ha incumplido el contrato, en concreto ha incumplido con la obligación de atender la reclamación ante un cargo no autorizado por el particular, generando daños y perjuicios a su cliente.
El BBVA aportó un informe pericial de su perito informático, afirmando en el mismo que sí que se enviaron los SMS para la autorización de las operaciones a la cliente. Sin embargo, el juzgado ha rechazado el valor probatorio de dicho informe y la declaración del perito como prueba plena ya que el mismo es empleado del banco, lo que supone concurrencia de causa de tacha.
El juzgado también ha rechazado la alegación del banco de que se venía advirtiendo a los clientes que fueran precavidos con este tipo de estafas. “El hecho de que se hagan anuncios de ciberseguridad en artículos publicados, noticias, videos de YouTube o en redes sociales, o el enlace a ‘consejos de seguridad’, no significa que la información necesaria para evitar un fraude estuviera al alcance de la demandante. Cuestión distinta es si cada vez que accediera a la web o la app de banca online apareciese una ventana emergente avisando de que no facilite sus datos personales”, afirma la sentencia.
Además, la IP de conexión para la verificación de las operaciones pertenecía al proveedor de servicios Orange, y la demandante nunca ha tenido contratada ninguna línea con esta compañía. La sentencia resalta que de “ninguno de los medios de prueba resulta que la aplicación bancaria emitiera aviso, bloqueando la operación, cuando la conexión se había efectuado a través de una IP no habitual”.
Por todo lo anterior, el juzgador concluye que no queda acreditado que la cliente hubiera sido advertida de que debía adoptar la precaución de facilitar en ningún enlace o llamada sus datos de conexión de banca online. Igualmente, tampoco ha quedada acreditada ninguna causa legal de exención de responsabilidad de la que viene obligada la entidad bancaria.
