En una sentencia que podría marcar un antes y un después en la protección de los consumidores frente a fraudes electrónicos, el Juzgado de Primera Instancia e Instrucción número 1 de Sant Feliu de Llobregat (Barcelona) ha condenado a un banco a indemnizar a un cliente tras sufrir una ciberestafa. El cliente, quien fue víctima de un fraude a través de un mensaje SMS y una llamada telefónica, sufrió la sustracción de 9.499 euros. La jueza María Luz Barreiro Calleja, responsable del fallo emitido el 3 de septiembre de 2024, sentenció que el banco no cumplió con las normativas de seguridad europeas, lo que le obliga a compensar al afectado.
El modus operandi de la estafa
El cliente afectado recibió un mensaje SMS en el que se le alertaba de que alguien estaba intentando acceder a su cuenta bancaria. Acto seguido, recibió una llamada de una persona que se hacía pasar por un empleado de su banco, informándole que se habían realizado cargos sospechosos en su cuenta. Para supuestamente cancelar esas operaciones, el estafador le solicitó al cliente que proporcionara sus claves de acceso. Sin sospechar del engaño, el cliente accedió a la solicitud y facilitó los datos, lo que permitió a los delincuentes sustraer casi 9.500 euros de su cuenta.
Este tipo de estafa, conocida como «vishing» (una combinación de «voice» y «phishing»), se ha convertido en una de las técnicas más comunes empleadas por los ciberdelincuentes para acceder a cuentas bancarias. Mediante este método, los estafadores logran persuadir a sus víctimas para que revelen información sensible bajo el pretexto de una emergencia bancaria, generando una situación de urgencia que confunde al afectado.
La Directiva PSD2 y la autenticación
Uno de los puntos clave de la sentencia se basa en la Directiva europea de servicios de pago, más conocida como PSD2, que obliga a las entidades financieras a implementar un sistema de autenticación reforzada para garantizar la seguridad de los pagos electrónicos. Este sistema de autenticación de doble factor requiere que los consumidores se identifiquen en dos ocasiones a través de métodos distintos (por ejemplo, contraseña y código SMS) antes de realizar una operación. Esta medida está diseñada para reducir significativamente el riesgo de fraude en pagos electrónicos.
La jueza María Luz Barreiro Calleja fue tajante al señalar que la entidad bancaria no había implementado las medidas de seguridad adecuadas, como exige la normativa europea. «La entidad no estableció un doble sistema de control de autenticación de la identidad de quien realizaba la operación«, reza la sentencia, lo que dejó al cliente vulnerable frente a los estafadores.
Además, la jueza dejó claro que el hecho de que el banco asegure que no hubo un fallo técnico en su sistema no exime a la entidad de su responsabilidad. Según la jueza, la responsabilidad del banco no deriva de un fallo técnico, sino de no haber aportado las medidas de seguridad necesarias para prevenir o reducir las consecuencias del fraude sufrido por su cliente.
La negligencia del banco y sus consecuencias
El fallo subraya la gravedad de la negligencia de la entidad bancaria al no garantizar que las transacciones estuvieran protegidas por sistemas de autenticación reforzada. «Hablamos de falta de negligencia grave, imprescindible para que el proveedor de pago deba reembolsar la cantidad pagada«, señala el texto judicial. Esta falta de diligencia permitió que el cliente se viera expuesto a la técnica fraudulenta empleada por los estafadores, quienes aprovecharon la falta de seguridad en el proceso para apropiarse del dinero.
Además de obligar al banco a devolver los 9.499 euros robados, la sentencia también incluye el pago de intereses y costas del proceso judicial, lo que refuerza aún más el mensaje de la necesidad de tomar medidas preventivas fuertes para las entidades bancarias.