Unicaja, condenada por los 25 Bizums que “nadie” envió

El Juzgado de Primera Instancia número 5 de Pamplona ha condenado a Unicaja Banco a pagar a un cliente los 3.940 euros que desaparecieron de su cuenta tras efectuarse 25 transferencias, a través de Bizum, sin que él lo hubiese autorizado. El juzgado considera que el banco no disponía de las medidas de seguridad adecuadas y necesarias para hacer frente a este caso de estafa y obliga a la entidad a resarcir el daño causado.

El 20 de junio del 2022, el usuario comprobó que el día anterior se habían realizado 25 operaciones desde su cuenta sin su autorización ni validación. Reclamó, basándose en la Ley de Servicios de Pago 19/18 porque entendía que el banco no se había cerciorado de las credenciales de seguridad personal y debía responsabilizarse del riesgo de su envío a otra persona. O lo que es lo mismo, no había procedido “a la correcta autentificación de las operaciones”. El banco, por su parte, aseguró que se había cumplido la normativa y se habían adoptado las medidas de seguridad necesarias, por lo que, de haberse producido un fraude, sería a consecuencia de un uso negligente por parte del usuario.

Para realizar un pago a través de Bizum- un servicio al que se pueden adherir voluntariamente los clientes de una entidad bancaria, para la realización de transferencias inmediatas a otras personas con la misma aplicación, de forma gratuita a través del número de teléfono móvil- , se requiere que el usuario introduzca una clave de seguridad que le remite el banco para cada una de las operaciones, vía telefónica o de forma electrónica. En este punto, la entidad debe asegurarse de la identidad del ordenante a la hora de prestar su consentimiento para el movimiento de dinero. “Si el banco cumple una orden falsa, habrá de reintegrar en la cuenta las correspondientes cantidades cargadas”, según lo dispuso el Tribunal Supremo en julio de 1988. Según la Ley de Servicios de Pago, el proveedor “soportará los riesgos derivados del envío de un instrumento de pago”. Eso si, el usuario no debe haber incurrido en una práctica contraindicada por la entidad y debe comunicarlo tan pronto como se de cuenta. La seguridad de las operaciones bancarias, precisa el juzgado, requiere de “soluciones tecnológicas avanzadas a los efectos de garantizar tanto la autenticidad como la integridad y la confidencialidad de los datos” y, por tanto, la seguridad de las operaciones.

En este caso, según se detalla en la sentencia 172/2023, el cliente fue víctima de una modalidad de estafa conocida como phising, en la que los delincuentes acceden, de forma engañosa y fraudulenta, a datos personales, códigos o sistemas informáticos y realizan operaciones haciéndose pasar por un usuario o falseando la identidad de una empresa. La Policía Nacional no ha podido determinar la autoría de los hechos. “Si un banco no ha sido capaz de limitar el acceso al canal de banca electrónica, no puede pretender que el presunto ordenante, víctima de esta práctica fraudulenta sea el único responsable”. En otras palabras: salvo que acredite la negligencia por parte del cliente, la ejecución de órdenes no autorizadas son responsabilidad del banco y evidencian los defectos de seguridad de su sistema. Además, subraya, no se puede atribuir la carga de la prueba a la víctima “por cuanto es la entidad bancaria la que se entiende que posee los documentos y registros necesarios para ello”.

Estafa (Foto: E&J)

Unicaja no pudo probar negligencia alguna en la forma de actuar de su cliente. Solo siete de los SMS que envió para autorizar los 25 Bizums contenían claves de seguridad. Además, en los extractos bancarios no figuran las horas en las que se hicieran las transferencias. Por si fuese poco, las cantidades que aparecen en los mensajes que le fueron enviado al cliente – y que no se ha podido acreditar que este llegase a abrir de forma inmediata- no coinciden con las sumas que fueron enviadas. De lo anterior se deduce un deficiente funcionamiento de la normativa sobre seguridad en el pago.

Así, se estima la demanda formulada por el cliente y se obliga a la entidad a restituir los 3.940 euros a los que se suman los intereses legales desde la fecha del cargo en la cuenta hasta que se efectúe el pago. Igualmente, la parte demandada debe hacer frente a las costas procesales.