BBVA devuelve 4.499 euros a una clienta que fue víctima de un ciberataque a través de la técnica de smishing
Los ciberfraudes más comunes comparten tres características básicas: i) implican la obtención ilícita y oculta de datos sensibles del titular del servicio, ii) utilización de dichos datos para la suplantación electrónica de su identidad y iii) generan un perjuicio económico al usuario o la asunción de obligaciones económicas no autorizadas. Una vez el ciberdelincuente se encuentra en posesión de datos del usuario pueden darse varios supuestos de interacción con la entidad financiera: a) Interacción Directa, en la medida que el delincuente, suplantando al usuario, contacta con la entidad vía correo electrónico solicitando la ejecución de transferencias o, b) Interacción Indirecta, cuando el ciberdelincuente, sin contractar con la entidad, ordena electrónicamente transferencias utilizando la banca electrónica con claves del usuario o firma contratos vía electrónica con claves del usuario.
Un afectado recibió el 17 de enero un mensaje de texto en su móvil, aparentemente de su entidad bancaria, informándole del bloqueo de su cuenta en BBVA por razones de seguridad, junto con un enlace para actualizar su información, por lo que creyendo que se trataba de su banco, pinchó sobre el enlace y siguió las instrucciones recibidas. Ese mismo día, horas más tarde, la víctima recibió varias notificaciones confirmando dos operaciones realizadas desde su cuenta, por importe de 3.000 euros con Binance como concepto y otra de 1.499 euros denominada Remilty (nombre de una plataforma de envío de dinero online). Fue en ese momento cuando se percató de que estaba siendo víctima de un fraude, toda vez que el cliente de BBVA no había autorizado ningún cargo. Ese mismo día acudió a una comisaría de la Policía Nacional e interpuso la correspondiente denuncia, además de comunicar la incidencia a su entidad bancaria para bloquear la cuenta y que no pudiesen efectuar más operaciones sin su autorización y presentar dos reclamaciones que fueron inicialmente desatendidas, hasta proceder a la devolución del importe sustraído[1].
Sobre estos supuestos, se han pronunciado diferentes Audiencias Provinciales, determinando la responsabilidad de las entidades financieras ante este tipo de ataques informáticos, apuntando que no puede entenderse que hubiera falta de diligencia de las víctimas de los ataques, destacamos entre otras las siguientes: SAP de Cáceres, Sección 1ª, nº 132/2022 de 16 de febrero, Rec. 1370/2021, SAP Cuenca, Sección 1ª, nº 350/2021, de 2 de noviembre, rec. 278/2021 y la SAP Madrid, Sección 11ª, nº 74/2022 de 28 de febrero, rec. 35/2021.
Sacristán&Rivas Abogados recomienda a todos aquellos que hayan sido víctimas de un ciberfraude, acudir, tan pronto sea posible, a expertos cualificados en la materia para la realización de un estudio del caso concreto y de las posibilidades de defensa, estando este Despacho a su disposición a tales efectos.
[1] https://www.diariojuridico.com/bbva-devuelve-casi-4-500e-a-una-victima-de-smishing/#:~:text=FACUA%20M%C3%A1laga%20ha%20conseguido%20que,de%20la%20t%C3%A9cnica%20de%20smishing.