El Santander devolverá 20.000 € a una clienta tras caer en las garras del «phishing»

El Juzgado de Primera Instancia e Instrucción n.º 4 de Leganés ha condenado al Banco Santander a reintegrar a una clienta 19.881,28 euros después de que un tercero, con ánimo fraudulento y suplantando la identidad de la misma, burlase todos los sistemas de seguridad de la entidad y realizase transferencias y compras a su costa.

Esta operación constituye una usurpación de identidad a través de Internet, denominada también como phishing

La sentencia, de 6 de mayo de 2022, recalca que el banco autorizó el cambio de número de teléfono móvil de manos de un desconocido a pesar de que, por contrato, debía exigir que la interesada acudiese presencialmente a una de sus oficinas.

Recorrido de la estafa

Según se desprende del escrito de demanda, la usuaria estaba dada de alta en el servicio “Superlínea” del Banco Santander, es decir, un producto de banca en línea que destaca por la alta seguridad que proporciona a las transacciones y custodia de datos y operaciones.

La clienta contrató tres cuentas con el Santander y posee tres tarjetas

La actora fundamentó su pretensión en los fallos de seguridad que permitieron que terceras personas accediesen en septiembre de 2019, con sus datos, a sus cuentas bancarias. En concreto, a través de distintas llamadas telefónicas de unos sujetos que se hacían pasar por comerciales de su compañía (Orange), unos desconocidos lograron burlar los mecanismos de seguridad del banco.

“Para aceptar el cambio de número de teléfono móvil el banco debería exigir que la titular acudiese a una de sus oficinas”. (Foto: Banco Santander)

De hecho, según la actora, las terceras personas consiguieron que el Santander enviase a otro número de teléfono distinto al suyo una nueva firma electrónica.

La clienta no sospechó en ningún caso que pudiera tratarse de un fraude

Así pues, una vez conseguidas las nuevas claves, sin el consentimiento ni conocimiento de la víctima, los sujetos accedieron a todos sus datos a través de la banca electrónica, ordenaron transferencias internas y realizaron operaciones fraudulentas (compras) por un importe estimado por el propio Banco Santander de 26.337,14 euros.

Bajo tal guion, la clienta interpuso una demanda de juicio ordinario contra el repetido banco, interpretó que la entidad era responsable al cometer una negligencia grave y le reprochó que su único mecanismo de seguridad se limitase a remitir un simple SMS a un teléfono móvil, sin indagar si el mismo estaba operativo y sin asegurarse que la clienta era la verdadera titular de la nueva línea.

Evasivas del banco

Por su parte, el Santander alegó el correcto funcionamiento del sistema de seguridad que posee, el cual dispone de una autentificación reforzada y registro y contabilización de operaciones.

Tras esta afirmación, la entidad trasladó la responsabilidad de las consecuencias de la estafa a la actora al no haber actuado diligentemente y por haber facilitado sus datos personales a un tercero desconocido.

En particular, según el banco, escapa de su control que terceros ajenos a la relación contractual se adueñen de las herramientas de seguridad que pone a su disposición de sus clientes, más aún cuando estos mismos son los que, actuando negligentemente, ceden su información sensible y claves a terceros, aunque sea a través de un engaño.

El Santander sí es responsable

Turno del Juzgado de Primera Instancia e Instrucción n.º 4 de Leganés, su Magistrado-Juez estima la demanda formulada y declara la responsabilidad del Banco Santander por autorizar el alta de una nueva firma electrónica y cambio de número de teléfono asociado a la usuaria sin verificar su identidad y autorizar los pagos ordenados por terceras personas sin detectar el fraude del que estaba siendo víctima la actora.

La clave de la controversia viene en uno de los contratos suscritos. En concreto, en una condición particular se estipula, como alegó la actora, que “para modificar el teléfono móvil (…) el titular deberá acudir a una oficina Santander y modificar su solicitud”.

Además, la prueba documental aportada al proceso acredita que la clienta acudió, en cuanto se dio cuenta de que podía haber sido víctima de una estafa, a la oficina habitual del Banco Santander e interpuso una denuncia en sede policial, realizando los trámites necesarios.

Asimismo, el Juzgado rechaza que exista prejudicialidad penal en este proceso ya que no se ha identificado al autor de la estafa y, a su juicio, el Santander tiene “una responsabilidad cuasi objetiva”.

«Aún no se ha identificado al autor de la estafa». (Foto: Karpersky)

En palabras del Magistrado-Juez, “si lo anterior sería ya suficiente por sí solo para estimar la demanda, además, debemos tener en cuenta la alegación formulada por la parte demandante respecto a la falta de necesidad -según el Banco- de la confirmación o contestación al mensaje recibido a través de SMS. No se compadece con un diligente sistema de seguridad que pueda modificarse el número de teléfono (que el propio Banco impone que tenga que hacerse personalmente en una de sus oficinas) a través de llamada telefónica y que la simple notificación a través de un SMS signifique la validación de tal cambio, sin necesidad de confirmación o contestación”. Es decir, el Santander “ignora que el teléfono se encuentre apagado, fuera de cobertura, estropeado o que, simplemente, el titular del teléfono por la razón que sea (vg. estar en jornada laboral, en el baño) no pueda atender el teléfono”.

En la misma línea, no debemos olvidar, recalca el fallo, la publicidad que realizan tanto las entidades privadas como públicas “relativas a las cautelas que deben adoptarse para contestar a mensajes provenientes de bancos como posibles estafas”. Así pues, según el Juzgador, es “razonable” que la usuaria “no contestase a los mensajes” del Santander.

La entidad bancaria asumió, antes de entablar la acción judicial, una devolución de poco más de 6.000 euros

Por todos estos argumentos, el Juzgado termina condenando a la entidad bancaria a reembolsar a su clienta 19.881,28 euros a razón del importe de las operaciones fraudulentas realizadas a su cargo.

Jesús Ramírez del Puerto, letrado del despacho J. Ramírez Abogados sito en Leganés, ha sido el encargado de asumir la dirección técnica del presente procedimiento.