BBVA, condenada a indemnizar a una clienta víctima de ‘phishing’ con la pérdida patrimonial experimentada: 9.900 euros

El Juzgado de Primera Instancia número 7 de Salamanca ha fallado a favor de una víctima de phishing bancario y condenado a su entidad bancaria, BBVA, a indemnizarla con la cantidad que le fue sustraída de manera ilícita: 9.900 euros.

A juicio del Juzgado, la conducta de la clienta, facilitando datos de acceso a los ciberdelincuentes en la creencia de que estaba comunicándose con su banco para impedir un acceso no autorizado de terceros a su cuenta bancaria, no fue negligente ni puede considerarse grave teniendo en cuenta el contexto en el que se produjeron los hechos. Por el contrario, la responsabilidad civil es del banco, al haber permitido una brecha de seguridad en su sistema y, por tanto, es la entidad bancaria la única responsable de los fallos de seguridad del sistema que el mismo pone a disposición del cliente.

El abogado que ha ganado el caso, defensa legal de la víctima estafada, Juan Pablo Palomar, del despacho Palomar Abogados, señala a E&J respecto al asunto litigioso que
“el proveedor de servicios de pago, es decir, el banco, dispone de sobrada tecnología para detectar la no coincidencia del beneficiario que figura en una orden transferencia con respecto al titular real de la cuenta de destino”.

En este sentido, el letrado manifiesta que “la propia normativa europea ha introducido en 2024 una normativa en la cual obliga al banco emisor, ante esta circunstancia, a prevenir al ordenante del pago que puede estar remitiendo fondos a una cuenta bancaria diferente a la deseada”.

La víctima actuó en la creencia de que estaba comunicándose con su banco

Según consta como hechos probados en la sentencia (disponible en el botón ‘descargar resolución’), la víctima recibió en su teléfono móvil un SMS dentro del hilo de mensajes del BBVA en el que se le informaba que había realizado un pago de 9.900 euros con cargo a su cuenta bancaria. Seguidamente se puso en contacto con ella por vía telefónica una mujer que se presentó como empleada del BBVA y le indicó que había establecido contacto telefónico con ella al objeto de realizar una actuación de seguridad encaminada a protegerle de una sustracción ilegítima de la cantidad citada (9.900 euros).

A los escasos segundos la víctima volvió a recibir dos SMS dentro del hilo de mensajes del BBVA en el que se le indicaba que estaba hablando con la operadora que se había presentado como trabajadora del banco, que por motivo de seguridad la llamada estaba siendo grabada y la invitaban a seguir las instrucciones de la empleada del banco.

La clienta dio credibilidad a los mensajes y procedió a seguir las instrucciones de la interlocutora, generando un nuevo IBAN supuestamente a su nombre con el fin de traspasar los 9.900 euros para protegerla de la sustracción que estaban intentando hacer.

La supuesta empleada del BBVA le explicó que para cerrar la incidencia recibiría unos códigos numéricos de seguridad en su dispositivo móvil y que debía introducirlos. Así, a la víctima se le abrió en su teléfono móvil una pantalla que aparentemente era la página web del BBVA y recibió los códigos numéricos por SMS.

Seguidamente, y siguiendo las instrucciones, la víctima introdujo los códigos, consumándose así la transferencia y con ello la estafa de la que estaba siendo objeto. Por último llegó a recibir un último SMS en el que se le indicaba que la transacción había sido cancelada correctamente.

(Imagen: E&J)

El banco negó su responsabilidad en el delito

La clienta del BBVA al conocer que había sido víctima de una estafa se lo comunicó al banco, sin embargo, la entidad bancaria no se hizo responsable del dinero sustraído al considerar que la revelación por parte de la actora de sus datos personales y bancarios suponía una clara actuación de negligencia grave, ya que de lo contrario no se habría ejecutado la operación.

Ante la falta de intención de la entidad bancaria de restituir la cantidad y asumir su responsabilidad en la estafa de la que había sido víctima la clienta, la actora demandó al banco solicitando que se declarase que el BBVA era responsable de los daños y perjuicios causados.

Y al amparo del artículo 1.101 del Código Civil se solicitaba en la demanda que se condenara al BBVA por dolo y/o negligencia, a indemnizar a la demandante por los daños y perjuicios sufridos equivalentes a la pérdida patrimonial experimentada, es decir una pérdida de valor patrimonial cuantificada en 9.900 euros, más los intereses legales de esta cantidad desde la fecha de la reclamación extra procesal hasta la fecha de la sentencia.

Por tanto la controversia del presente litigio se centraba en la responsabilidad de las extracciones ilícitas y quién debía asumir la misma, si bien debían ser asumidas por el banco, o bien por la clienta.

(Imagen: BBVA)

Doctrina del Tribunal Supremo

El Juzgado de Primera Instancia número 7 de Salamanca ha comenzado recordando en la sentencia la doctrina de la Sala de lo Penal del Tribunal Supremo en un caso como el ahora enjuiciado y cuya doctrina es aplicable, donde se resuelve la acción civil derivada del delito de defraudación informática.

Dicha doctrina recoge que «es claro que la actividad propuesta por la entidad bancaria a sus clientes mediante la operativa online presenta algunos riesgos derivados de la posibilidad de suplantación de la identidad de quien contrata con la entidad para la realización de operaciones sin la autorización del auténtico contratante. Es claro también que, excluyendo actuaciones dolosas o gravemente negligentes por parte de los clientes, la entidad bancaria es responsable de ofrecer y poner en práctica un sistema seguro, de manera que las consecuencias negativas de los fallos en el mismo no deberán ser trasladados al cliente. Todo ello con independencia de la determinación de quien sea el auténtico perjudicado en estos casos (…)».

Pues bien, aplicando tal doctrina al caso y teniendo en cuenta la forma en que se produjeron los hechos, para el Juzgado es evidente que las actuaciones realizadas por la demandante son «las propias de cualquier persona media que se considera en el entorno seguro de su relación habitual con su banco». Es decir la clienta introdujo sus claves de banca online en la creencia de hacerlo a requerimiento del propio banco para evitar un ataque a sus cuentas y con la misma intención facilitó la clave para la realización de las transferencias.

Por tanto, la actora actuó con ingenuidad pero su conducta no fue negligente ni puede considerarse grave teniendo en cuenta el contexto en el que se produjeron los hechos. «Estamos ante un tipo de fraude muy específico del que es fácil ser víctima sin que ello implique una actuación negligente del cliente dado lo bien que está ejecutado el fraude», señala el juez en la sentencia.

En este sentido el juzgador ha recordado lo razonado por la Audiencia provincial de Santander en su sentencia de 23 de julio de 2024 (n.°1056/2024): «No puede calificarse de gravemente negligente cuando se actúa en la angustia y urgencia de quien trata de evitar un acceso no autorizado a sus cuentas y en dicho contexto pinchar en el enlace que le ofrece el SMS fraudulento —en el hilo de mensajes de propio banco— no supone una grave negligencia. La identificación de entornos no seguros no está al alcance de cualquier usuario».

(Imagen: BBVA)

El banco es responsable de la pérdida patrimonial

Por tanto, en el presente caso, la responsabilidad civil es de la entidad financiera frente al cliente en el marco de la relación contractual de prestación de servicios de banca electrónica, puesto que el cliente no actuó de forma fraudulenta o negligente, sino que es el banco el único responsable de los fallos de seguridad del sistema que el mismo pone a disposición del cliente.

En consecuencia el Juzgado ha estimado la demanda y declarado que BBVA es responsable de los daños y perjuicios causados, y al amparo del artículo 1.101 del Código Civil, la entidad bancaria ha sido condenada por dolo y/o negligencia a indemnizar a la parte actora por los daños y perjuicios sufridos, equivalentes a la pérdida patrimonial experimentada de 9.900 euros, más los intereses legales de esta cantidad es de la fecha de la reclamaciones extraprocesal hasta la fecha de la sentencia.

Por último, el juzgador ha recriminado que «es especialmente grave, que por el hecho de acceder de fraudulentamente a la banca online de un cliente, el estafador tenga acceso a todos los datos, lo que supone una brecha de seguridad. Las entidades financieras son conocedoras de estos hackeos informáticos y deberían proteger mucho más concienzudamente datos tan sensibles de sus clientes«.

En esta línea, continúa exponiéndose en la sentencia que «el deber de diligencia del banco para asegurar la correcta autentificación de las operaciones de pago, sobre todo cuando se trata de un alto importe, exige no solo aplicar el procedimiento de autentificación reforzada de clientes, sino también dotarse de mecanismos de supervisión que permitan detectar operaciones fraudulentas».