condena por pishing

Condena al BBVA por un ataque de «phising»

Jueza condena al BBVA a pagar más de 3.000€ a la víctima de un ataque «phishing»

Los pantallazos aportados por el cliente evidencian que la página web fraudulenta era casi idéntica a la del BBVA.

El Juzgado de Primera Instancia e Instrucción n.º 2 de Redondela (Pontevedra) ha condenado al BBVA, como proveedor de servicios de pago, a abonar a un cliente, que fue víctima de una suplantación de identidad, la cifra de 3.101,25 euros.

El phishing es una técnica de ciberdelincuencia que tiene como finalidad la obtención a través de internet de datos privados de los usuarios, especialmente para acceder a sus cuentas o datos bancarios

La sentencia, de 25 de enero de 2022, resalta que la entidad bancaria no ha logrado acreditar que la operación fraudulenta se realizase desde la dirección IP habitual del cliente.

Posiciones de las partes

La actora ejercitó una acción de responsabilidad amparada en los arts. 44 y 45 del Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera.

En particular, la demandante expuso en su escrito de demanda que existió una deficiencia en el sistema de seguridad informático del BBVA ya que, como consecuencia de la manipulación de la página web de la entidad, se realizó una transferencia no consentida de 3.100 euros, por la cual se cobró una comisión de 1,25 euros.

En concreto, según la actora, días antes de que se realizase la transferencia fraudulenta, la página web de la entidad bancaria le requirió para la instalación de un token. Dado que lo anterior le parecía sorprendente, llamó al director de la entidad y este le remitió al servicio del BBVA Net Cash, donde le comentaron que debía aceptar la modificación.

Por su parte, la representación del BBVA se opuso a la demanda interpuesta, alegando una negligencia de la actora en su gestión, por cuanto no estaba prevista la renovación de los servicios por la que esta última facilitó sus claves.

Estimación de la demanda

En primer término, la Jueza del Juzgado de Primera Instancia e Instrucción n.º 2 de Redondela recuerda que el ya citado art. 44 del RDL 19/2018, de 23 de noviembre, dispone que “cuando un usuario de servicios de pago niegue haber autorizado una operación de pago ya ejecutada o alegue que ésta se ejecutó de manera incorrecta, corresponderá al proveedor de servicios de pago demostrar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio prestado por el proveedor de servicios de pago”.

Dicho esto, antes de entrar en el fondo del asunto, la Juzgadora adelanta que, según su parecer, “resulta evidente la obligación del BBVA, como proveedor de servicios de pago, de devolver a la demandante el importe de la operación no autorizada”.

Para llegar a tal conclusión, el Juzgado anuncia que, en el acto de la vista, declaró como testigo/perito una técnica informática que elaboró el informe aportado por la entidad bancaria. Pues bien, la Jueza advierte que la técnica informática aclaró únicamente en su declaración que en la polémica operación se emplearon las claves adecuadas, pero no si se utilizó la misma dirección IP que en otras operaciones.

En palabras de la Juzgadora, “a diferencia de lo que la entidad bancaria afirma en su contestación a la demanda, no han podido demostrar que la operación fuese realizada desde la IP habitual del cliente”.

El director de la sucursal bancaria expuso en su declaración que en ocasiones se pedían autorizaciones por modificación de condiciones y que, si no se otorgaban, no se podía utilizar la cuenta.

Por otro lado, en el reciente fallo se recalca que la actora ha aportado distintos pantallazos de la página web fraudulenta del BBVA, de cuyo examen se evidencia que la misma “tenía la apariencia de la página de la entidad bancaria”.

En definitiva, como el BBVA no la logrado acreditar la existencia de una actuación negligente de su cliente, el Juzgado condena al banco a reintegrar a la actora la suma de 3.100 euros y de 1,25 euros cobrados en concepto de comisión.

En esta misma línea resolvió la Audiencia Provincial de Salamanca, en su sentencia 428/2021, de 21 de junio: “Por lo demás, añadir que esta responsabilidad de la entidad bancaria no tiene un carácter absolutamente objetivo. Pues es preciso que se cumplan algunos requisitos, y entre ellos es exigible que haya tenido lugar una infracción de normas, aunque en ellas se incluya, incluso, el deber objetivo de cuidado que afecta a toda actividad para evitar daños a terceros. Es cierto que es posible que determinados hechos tengan lugar aunque la entidad bancaria haya adoptado medidas de seguridad adecuadas. Pero para que sea posible un análisis de las mismas habrá de acreditar su existencia y su adecuado cumplimiento, lo cual desde el lado de la entidad bancaria no ha tenido lugar en el caso”.

Voz letrada autorizada

El abogado Agustín Ausín Mourín ha asumido la dirección técnica del presente procedimiento.

En palabras del abogado, “las entidades bancarias están impulsando la utilización de medios electrónicos de gestión financiera y pago, sin que exista una evolución paralela en la protección de los consumidores y usuarios de los mismos”.

La representación de la entidad bancaria ha interpuesto un recurso de apelación, estando así el asunto pendiente de resolución en segunda instancia

“En su condición de proveedores de servicios, las entidades bancarias están obligadas a implantar medidas que supongan una protección efectiva de sus clientes, y no limitarse a cargar sobre éstos el peso de la adopción de todas las cautelas para evitar suplantaciones o técnicas de pishing”, añade.

A su juicio, “esta sentencia supone un avance al cargar a la entidad bancaria con las consecuencias de la suplantación, al no existir conducta negligente por parte de la demandante, quien actuó por los cauces ordinarios, sin que existiera deficiencia alguna en su proceder”.

Por último, cabe resaltar que la representación de la entidad bancaria ha interpuesto un recurso de apelación, estando así el asunto pendiente de resolución en segunda instancia.

Fuente: economistjurist.es

Abogados en Mataró

Abogados especialistas en todas las ramas del Derecho

Abogados Blanco Mora es un despacho Multidisciplinar, donde profesionales expertos, ofrecemos a los clientes un asesoramiento basado en la eficiencia, la transparencia y la funcionalidad.