Abanca devuelve 5.000 € a una víctima de «phishing» tras probarse la inseguridad de su sistema de banca telemática

La Audiencia Provincial de Pontevedra ha confirmado la sentencia que condenaba a Abanca a pagar casi 5.000 euros a un cliente que fue víctima de un ataque phishing.

La sentencia, de 1 de diciembre de 2023, acredita el “incumplimiento por la prestadora del servicio del deber esencial de facilitar un sistema de banca telemática seguro”.

El caso

El afectado recibió una llamada el 24 de agosto de 2021 del nombrado “Servicio de Atención al Cliente de Abanca”, informando que se estaba intentando realizar una transferencia de 10.000 euros desde su cuenta y que para su anulación se precisaba facilitar por el cliente unos códigos enviados por SMS a su teléfono móvil.

Consecuencia de lo anterior, el hombre perdió la cantidad de 4.891 euros.

Al tomar conocimiento el mismo día de lo sucedido, el usuario comunicó la no autorización de la operación al call center y a su oficina de Abanca de O Porriño explicando el engaño sufrido.

«El usuario comunicó la no autorización de la operación al call center y a su oficina de Abanca».(Foto: E&J)

Al día siguiente, el cliente presentó una denuncia ante la Guardia Civil.

Por lo expuesto, el Juzgado de Primera Instancia e Instrucción n.º 2 de O Porriño estimó íntegramente la demanda formulada por el consumidor y condenó a Abanca a pagar al usuario la suma de 4.891 euros. En particular, la sentencia estimó la demanda de juicio verbal, en ejercicio de acción de responsabilidad contractual en relación a la alegada falta de autentificación de transferencia efectuada el 24 de agosto de 2021 desde su cuenta bancaria, frente a Abanca.

No conforme con lo anterior, la representación de la entidad bancaria recurrió en apelación argumentando que, aunque era cierto que el reclamante fue víctima de fraude, incurrió en negligencia grave al facilitar sus credenciales personalizadas a un tercero desconocido, debiendo ser exonerada la responsabilidad de Abanca en aplicación de lo previsto en  los arts. 41 y 46 del Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera.

Abanca ha incumplido su deber de facilitar un sistema de banca telemática seguro

Ahora, la AP de Pontevedra ha desestimado el recurso de apelación formulado y ha confirmado en su integridad la sentencia impugnada.

La Sala destaca que la negligencia que haría responder al cliente en un caso como el aquí descrito sería la que se deriva de una conducta caracterizada por un grado significativo de falta de diligencia, lo que supone que la misma surge o se produce por iniciativa del usuario, no como consecuencia del engaño al que haya podido ser inducido por un delincuente profesional.

A ello hay que sumar “la complejidad y grado de perfección que presenta en la actualidad el método de phishing de difícil detección por persona de formación media, así como el deber de la proveedora, del servicio de dotarse de tecnología suficiente y adecuada con exigencia de medidas implantadoras activas, sin entenderse suficientes avisos generales o en página web de mero carácter informativo o divulgativo”, explica la Audiencia.

Entonces, partiendo de que la autorización propiciada por el cliente se fundó en un comportamiento fraudulento de un tercero, “deberá entenderse que la negligencia plasmada en la cesión de datos personales producida se debió al complejo engaño recibido, y no a la iniciativa o acción directa personal del usuario”, razona el Tribunal.

Por consiguiente, “excluyéndose razonablemente la gravedad en el reproche por falta de custodia de claves”, la sentencia concluye y constata el “incumplimiento por la prestadora del servicio del deber esencial de facilitar un sistema de banca telemática seguro”.