Diversos piratas informáticos desvalijan el capital de una empresa suplantando la voz de su directivo.
“Negligencia bancaria”
El ente financiero tendrá que restituir los miles de dólares y euros que una banda criminal recaudó mediante giros ilícitos.
“¿Eres mi hijo?”: de qué manera eludir fraudes que utilizan voces replicadas a través de inteligencia artificial
Los delincuentes robaron más de 212.000 dólares y 67.000 euros
La Audiencia de A Coruña ha sentenciado a un banco a restituir una suma superior a 247.000 euros hurtados de la cuenta de una firma internacional de grúas, víctima de ciberestafadores que llegaron a imitar la voz de su administrador. El magistrado que primero analizó el asunto estimó que la entidad no era responsable, pero el tribunal superior ha transformado radicalmente sus conclusiones iniciales.
El Tribunal Supremo ha determinado con firmeza la obligación subsidiaria de las instituciones bancarias ante los fraudes progresivamente más complejos que padecen sus usuarios. La resolución 571/2025 de 9 de abril de la máxima instancia señala que ante transacciones carentes de permiso o validadas mediante artimañas “el proveedor de servicios de pago deberá devolver inmediatamente el importe de tales operaciones”.
Más jurisprudencia
Diversos delitos, variadas sentencias.
A partir de que el Supremo marcó ese rumbo mediante un fallo que ha establecido doctrina legal, múltiples audiencias provinciales y juzgados de menor rango han fallado en beneficio de los usuarios perjudicados debido a la carencia de medidas de protección por parte de las instituciones financieras. No obstante, escasos dictámenes resultan tan tajantes como el número 271/2023, recientemente difundido por la Sección Cuarta de la Audiencia de A Coruña.
Los jueces no únicamente han valorado las pautas del Supremo al anular el fallo inicial que absolvía a la entidad bancaria, sino además una “prueba pericial de reconocimiento de voz”. Conforme al Supremo, y tal como se refleja en esta resolución, compete a las entidades financieras probar que los clientes incurrieron en un descuido severo, es decir, que el principio de inocencia rige igualmente en beneficio de los usuarios.
Video Los casos de 'phishing' son cada vez más frecuentes
Gran parte de las instituciones financieras, no obstante, intentan eludir su responsabilidad trasladando la carga probatoria y sostienen que las víctimas ignoraron sus recomendaciones al proporcionar códigos o claves que permitieron el acceso a los delincuentes. Buscan de este modo desentenderse del problema para evitar la devolución de los fondos. Dichos argumentos resultan frecuentemente rechazados por las instancias judiciales, aun en situaciones donde el robo de información no sea responsabilidad directa de los bancos.
La candidez, probables negligencias o el desconocimiento de los clientes “no liberan a las entidades bancarias de la obligación de responder ni transfieren a los clientes la carga de soportar las pérdidas”. Respecto al proceso judicial analizado, los atacantes digitales obtuvieron las contraseñas de la banca virtual y el servicio telefónico del responsable de la compañía, “lo que no supone per se que la víctima incurriera en negligencias”.
La entidad bancaria realizó trámites telefónicos sin comprobar la identidad de quien llamaba.
Actualmente existen, afirman los magistrados, “muchos medios fraudulentos de obtener estas claves sin el concurso de los perjudicados”. Los mecanismos de alerta de la entidad financiera debieron activarse ante una circunstancia irregular (“una conexión sospechosa”, indica el fallo), pero no fue así. En ninguna ocasión previa se habían pretendido efectuar en un solo día tantos traspasos y de tal envergadura en las tres cuentas del usuario, de las cuales dos funcionaban en dólares y la restante, en euros.
Durante las primeras horas de la jornada señalada se efectuaron dos tentativas de transferencia de capital desde uno de los depósitos en divisa norteamericana, “que no se llegaron a realizar por estar fuera del horario de operaciones con cambio de divisas”. Los atacantes digitales no desistieron y posteriormente contactaron con la propia entidad financiera suplantando al administrador de la firma. Por suerte para el afectado, el intercambio verbal quedó registrado.
El registro sonoro, que de manera imprevista el magistrado inicial omitió considerar y examinar, pone de manifiesto diversos aspectos. Inicialmente, la notable similitud con el tono de la víctima del fraude (si bien los expertos confirman que no se trata de su voz); por otra parte, la carencia de mecanismos de supervisión de la institución, que validó sin vacilar quién era la persona al teléfono y acató sus instrucciones por vía telefónica para realizar modificaciones en la plataforma digital que propiciaron el saqueo.
Con el propósito de efectuar tales alteraciones, los atacantes suministraron el usuario y la contraseña en la herramienta de banca electrónica. Acto seguido contactaron telefónicamente con la organización y consiguieron que se derivaran los códigos de confirmación de las transacciones hacia un contacto telefónico ajeno al registrado inicialmente por el titular legítimo. Finalmente, el banco sucumbió al engaño planteado “por la persona que llamó, sin requerirle garantías adicionales que verificasen su identidad”.
El botín
Una estafa de 157.023 dólares, otra por 67.141 euros y una tercera de 55.583 dólares
La Audiencia de A Coruña asegura que estos sucesos “debieron hacer ver a la entidad financiera la alta probabilidad de que hubieran sido duplicadas las claves de su cliente”. Y debió notarlo desde el primer aviso”, esos movimientos bancarios fallidos de noche por estar fuera de horario. La convicción sobre la estafa se intensifica “por la pericial practicada en la segunda instancia, según la cual la voz grabada no es la del interesado”.
El fallo aún no es definitivo, aunque es poco probable que el Supremo lo anule, dado que la Audiencia aplica su misma doctrina. Los demandados tendrán que devolver cerca de 247.000 euros (la cifra defraudada, según la conversión vigente del dólar), “más los intereses moratorios en las correspondientes monedas”. No se puede culpar en absoluto al afectado, pero sí a la entidad bancaria, “que no corroboró de manera reforzada la identidad de su cliente”.