Asufin denuncia la «desprotección» del consumidor frente al ‘phishing’ «ante una jurisprudencia que exime de responsabilidad al banco»

La Asociación de Usuarios Financieros (Asufin) ha denunciado hoy la «desprotección» del consumidor frente al phishing «ante una jurisprudencia que exime de responsabilidad al banco». Afirma que «el consumidor queda a los pies de los caballos en materia de phishing bancario, y el resto de ciberdelitos, cada vez más frecuentes».

Como ha informado recientemente Economist & Jurist, de los más de 470.000 ciberdelitos que hubo en 2023, el 90% fueron estafas informáticas, según Interior; y la falta de prevención y de planes de respuestas a incidentes son las causas de estas alarmantes cifras.

Según explica Patricia Suárez, presidenta de esta asociación, «numerosas sentencias demuestran que el sistema judicial no está dando una respuesta adecuada a un entramado de vacíos de seguridad que perjudican, fundamentalmente, al usuario de banca, por la sustracción de fondos que le origina».

Pone como como ejemplo una sentencia desestimatoria del Juzgado de Primera Instancia número 53 de Barcelona, dictada el pasado 15 de marzo (94/2023), del caso de un socio de Asufin, en la que el magistrado Joan Marsal Guillamet «reconoce que el consumidor fue víctima de phishing, pero que el banco no puede ser el responsable, y aduce que ‘si el demandante, nervioso por la situación, facilitó los códigos OTP a pesar de que en el mensaje se le indicaba que era para confirmar las compras, y no para anularlas, debe asumir las consecuencias de sus actos'».

Asufin destaca que la resolución «no da relevancia a circunstancias fundamentales como que el SMS que le llegó al cliente se colocó en la línea de mensajes legítimos que previamente había recibido de la entidad, ni a que la llamada que recibió provenía de un número que su teléfono directamente identificó como BBVA, ni a que su interlocutor se dirigiera a él por su nombre y apellido, dándole determinados datos que le hicieron creer legítimamente que hablaba con su banco, ni a que el dispositivo desde el que se efectuaron las operaciones fraudulentas no era el que el asociado tenía registrado en su perfil».

Patricia Suárez hace hincapié en que la Ley vigente «no otorga la misma responsabilidad a la entidad bancaria y al usuario de los medios de pago, dado que la situación de ambos no es equivalente, sino todo lo contrario, desigual, ya que el banco es la que dispone de los medios de seguridad para proteger adecuadamente los fondos y transacciones».

Asufin recuerda que el artículo 41 del Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera, establece para el usuario la obligación de “tomar todas las medidas razonables a fin de proteger sus credenciales de seguridad personalizadas”, sin entrar en mayor detalle de qué se considera razonable.

Y recuerda que la entidad está obligada, por artículos sucesivos a demostrar que efectivamente ha habido una negligencia: “corresponderá al proveedor de servicios de pago, incluido, en su caso, el proveedor de servicios de iniciación de pagos, probar que el usuario del servicio de pago cometió fraude o negligencia grave”.

«Y, en cualquier caso, la entidad está obligada a restituir las cantidades objeto de fraude: “en caso de que se ejecute una operación de pago no autorizada, el proveedor de servicios de pago del ordenante devolverá a éste el importe de la operación no autorizada de inmediato”, concluye.