El Juzgado de Primera Instancia e Instrucción nº 1 de Moncada ha condenado al Banco Santander a restituir a una cliente la cantidad de 5.895 euros, más intereses legales, que perdió como resultado de un sofisticado fraude de phishing.
El Juzgado de Primera Instancia e Instrucción nº 1 de Moncada se ha pronunciado sobre un caso de phishing en virtud del cual se sustrajo de la cuenta de un cliente de Banco Santander la cantidad de 5.895 euros a través del envío de un correo electrónico fraudulento, aparentemente proveniente de la entidad, solicitando sus datos personales y claves de acceso a sus cuentas bancarias. Tras proporcionar esta información, se realizaron cargos no autorizados en su cuenta, relacionados con dos compras de productos tecnológicos en una tienda de Barcelona. La Sentencia basándose en jurisprudencia de varias Audiencias Provinciales, señala que la responsabilidad en casos de este tipo recae en la entidad bancaria, a menos que se demuestre una actuación fraudulenta o negligente grave por parte del cliente, cuestión que no se acreditó en el procedimiento, quedando en evidencia que el banco no proporcionó mecanismos suficientes de supervisión contra el phishing. Entiende el Juzgador que las entidades deberían implementar sistemas de detección de movimientos inusuales o cargos no habituales para prevenir fraudes de este tipo. En el caso analizado, se apunta que el banco permitió una modificación del límite diario de la tarjeta de crédito de la cliente sin verificar adecuadamente su autenticidad. La Sentencia es firme[1].
Los ciberfraudes más comunes comparten tres características básicas: i) implican la obtención ilícita y oculta de datos sensibles del titular del servicio, ii) utilización de dichos datos para la suplantación electrónica de su identidad y iii) generan un perjuicio económico al usuario o la asunción de obligaciones económicas no autorizadas. Una vez el ciberdelincuente se encuentra en posesión de datos del usuario pueden darse varios supuestos de interacción con la entidad financiera: a) Interacción Directa, en la medida que el delincuente, suplantando al usuario, contacta con la entidad vía correo electrónico solicitando la ejecución de transferencias o, b) Interacción Indirecta, cuando el ciberdelincuente, sin contractar con la entidad, ordena electrónicamente transferencias utilizando la banca electrónica con claves del usuario o firma contratos vía electrónica con claves del usuario.
Sobre estos supuestos, se han pronunciado diferentes Audiencias Provinciales, determinando la responsabilidad de las entidades financieras ante este tipo de ataques informáticos, apuntando que no puede entenderse que hubiera falta de diligencia de las víctimas de los ataques, destacamos entre otras las siguientes: SAP de Cáceres, Sección 1ª, nº 132/2022 de 16 de febrero, Rec. 1370/2021, SAP Cuenca, Sección 1ª, nº 350/2021, de 2 de noviembre, rec. 278/2021 y la SAP Madrid, Sección 11ª, nº 74/2022 de 28 de febrero, rec. 35/2021.
Sacristán&Rivas Abogados recomienda a todos aquellos que hayan sido víctimas de un ciberfraude, acudir, tan pronto sea posible, a expertos cualificados en la materia para la realización de un estudio del caso concreto y de las posibilidades de defensa, estando este Despacho especializado en este tipo de reclamaciones y a su disposición a tales efectos.
[1] Condenan a Banco Santander a devolver a un cliente el dinero de una estafa – Diario16plus