Los bancos tienen responsabilidad en los casos de 'phishing', dice una sentencia

Los bancos no pueden escurrir el bulto ante los crecientes fraudes tecnológicos que sufren sus clientes ni lavarse las manos porque las víctimas engañadas faciliten sus contraseñas. Algunas resoluciones han comenzado a avalar este principio, pero pocas con la contundencia de la Audiencia de Badajoz en una sentencia contra la que ya no cabe recurso y que condena a Unicaja, la sexta entidad financiera española por activos.

M.A., una vecina del municipio de Zafra (Badajoz) recibió un mensaje que su teléfono identificó como de “Unicaja Banco, SA” y que incluía este aviso: “A partir del 23 de febrero del 2022 no puedes utilizar tu tarjeta. Tienes que activar el nuevo sistema de seguridad online en este enlace”. La mujer, como explica la sentencia, fue “engañada por terceras personas, pinchó en dicho enlace, introdujo sus claves y acto seguido…”.

Los delincuentes obtuvieron de un plumazo “3.441,20 euros de su cuenta corriente”. Es un procedimiento habitual, que se comete a diario y contra el que alertan una y otra vez los bancos, que recuerdan que jamás piden contraseñas o datos clave por teléfono o correo electrónico. Los piratas informáticos, sin embargo, van un paso por delante de los bancos y cada vez disfrazan mejor sus intenciones para consumar el engaño.

Las entidades se suelen escudar en que los clientes hicieron “un mal uso de sus claves” para mirar a otro lado y eximirse de toda culpa. Esta resolución, sin embargo, puede marcar un antes y un después porque da la vuelta a la tortilla con cuatro palabras: “Hay responsabilidad del banco”. El dictamen, que ha sido recopilado por el Consejo General del Poder Judicial, confirma los criterios del primer juez al que llegó el caso.

Video

Y los confirma imponiendo a Unicaja el pago de las costas y cerrando la posibilidad de “recurso ordinario alguno”. Por lo tanto, contra la sentencia de la Audiencia de Badajoz solo cabría un recurso extraordinario de casación o de infracción procesal. Se trata de vías a las que no se puede acudir de forma automática porque la primera exige demostrar la infracción de una norma en la sentencia; y la segunda, en el proceso.

El tribunal obliga además a devolver a la clienta la cantidad estafada. Su abogada la calificó, y así lo entiende el juzgador, como una simple ciudadana “sin conocimientos financieros”. Resulta “casi imposible que un consumidor se dé cuenta del fraude o que alguien con una información básica detecte la simulación”. La estafa cometida, y que consiste en la derivación hacia webs falsas, se conoce con un anglicismo, phishing.

El ponente

Un magistrado sensible ante la violencia machista y la discapacidad

El ponente de la sentencia es Luis Romualdo Hernández Díaz-Ambrona, presidente de la Audiencia de Badajoz y autor de resoluciones que llaman la atención por su sensibilidad. La misma que ha hecho acreedor a su autor de premios que reconocen su lucha contra la violencia de género, como el que recibió el pasado mes de noviembre junto a una fiscal experta en este mismo ámbito, María Carrión. Otra reciente sentencia del magistrado Hernández Díaz-Ambrona, también muy celebrada, criticaba el paternalismo hacia las personas con discapacidad y recordaba que necesitan apoyo, no condescendencia.

“Las personas con discapacidad no son de segunda”, recuerda un tribunal

Domingo Marchena

La propia condena amplía el concepto del delito y lo define como “una estafa digital en la que un tercero se introduce en un sistema informático, haciéndose pasar por otra persona, empresa o servicio de confianza para manipular a la víctima y lograr que realice una serie de acciones que permitan un ilícito desplazamiento patrimonial”. Pero, y he aquí lo novedoso de la resolución, los bancos también tienen su parte de culpa.

Dice la Audiencia que “los medios digitales se han implantado en el negocio bancario”. El auge de las entidades financieras, agrega, “se explica justamente por el abandono cada vez mayor de la presencialidad: la banca digital ha permitido un crecimiento exponencial de los servicios financieros con un enorme ahorro de costes”, por lo que los bancos “tienen la doble condición de beneficiarios y generadores del riesgo”.

“No basta con medidas genéricas de protección o avisos estereotipados de cuidado”, subraya la sentencia, que señala el problema y el remedio: “La seguridad de las operaciones precisa de soluciones tecnológicas avanzadas con el fin de garantizar tanto la autenticidad como la integridad y la confidencialidad de los datos”. El ponente admite que el objetivo de los estafadores es hurtar las claves a los clientes, pero…

Pero “la responsabilidad del banco, que no es un convidado de piedra, no se agota con facilitar unas contraseñas y confiar en la providencia”. Tampoco se puede apelar “a una especie de sálvese quien pueda”. Unicaja “achaca al usuario haber pinchado en el enlace, como si fuera un crimen”. Y el tribunal replica que antes de llegar a eso “hay una cascada de recursos y medios que, al menos en este supuesto, la entidad no agotó”.

Hacen falta “comunicaciones más seguras, más formación a los clientes, más inversión en seguridad para evitar la clonación de páginas y, si es necesario, bloquear las cuentas para la mejor protección de los usuarios” porque “no podemos olvidar que el depositante tiene derecho a la indemnidad de sus ahorros”. El mero hecho “de ser engañado, de ser una víctima, no implica la comisión de una grave negligencia”.

Los ciberdelincuentes, concluye la Audiencia de Badajoz en el recurso 459/2024, son “cada vez más astutos” cuando se trata de suplantar la identidad de las entidades bancarias. Pero el ciudadano sigue confiando “en que sus ahorros están más protegidos en el banco que en su casa. En fin, la víctima no puede ser el cliente. Será en todo caso el banco (…) salvo ante engaños patentes o burdos, lo que no es aquí el caso”.