Ibercaja devolverá 50.000 € a unos clientes víctimas de un ataque phishing

La Audiencia Provincial de Zaragoza ha confirmado la sentencia que condenaba a Ibercaja a pagar más de 50.000 euros a varios clientes de una misma familia que fueron víctimas de un ataque phishing.

La sentencia, de 14 de septiembre de 2022, constata que los afectados no borraron ningún SMS de su dispositivo vinculados con las cuatro transferencias fraudulentas.

El caso

Los familiares estaban vinculados con Ibercaja por varios contratos: contrato de cuenta de depósito a la vista, contrato marco de servicios de pago, contrato de apertura de cuenta y contrato de banca a distancia.

Como consecuencia de varias transferencias no autorizadas y efectuadas a inicios de enero de 2021, los usuarios afectados ejercitaron una acción de reclamación de cantidad contra la mencionada entidad bancaria.

Un año después, en enero de 2022, el Juzgado de Primera Instancia e Instrucción n.º 1 de La Almunia de Doña Godina (Zaragoza) estimó la demanda planteada por los clientes y declaró que la actuación de la demandada en la gestión del fraude supuso “un incumplimiento de las obligaciones contractuales asumidas” en los contratos suscritos.

El perito confirmó que no se borró mensaje alguno en su teléfono móvil. (Foto: E&J)

La actuación de la financiera, según el fallo de instancia, ocasionó daños y perjuicios a los demandantes por un importe total de 50.182,10 euros, cantidad que tendría que abonar la primera de forma inmediata, más los intereses legales desde la fecha de las transferencias.

Disconforme con lo anterior, el banco español con sede en Zaragoza fundado en 2011 recurrió en apelación, solicitando, en primer lugar, la nulidad de actuaciones al entender que la prueba pericial se practicó sin las debidas garantías, en tanto que no se puso a disposición judicial el dispositivo móvil que fue objeto de la mencionada prueba pericial. Además, entre otras alegaciones, la recurrente evidenció la falta de exhaustividad y de motivación de la resolución recurrida.

Ibercaja es responsable del fraude informático

En primer lugar, en relación a la petición de nulidad de actuaciones, la AP de Zaragoza asegura que la prueba pericial se limitó a examinar un dispositivo móvil. Eso sí, el Tribunal llama la atención que la recurrente “no solicitó ninguna cautela” respecto al mencionado teléfono, “ni para que fuera puesto a disposición judicial ni para que se le permitiera su examen a fin de poder efectuar su propia prueba pericial”. Por consiguiente, “ahora no puede alegar que se produjera indefensión”, razona el reciente fallo.

Ibercaja atribuyó la responsabilidad del fraude al titular en el mantenimiento de su dispositivo móvil y alegó en la contestación a la demanda que posiblemente el mismo pudo ser víctima de técnicas de suplantación de identidad utilizada por ciberdelincuentes.

Sin embargo, la Sala indica que, de la mencionada prueba pericial, la única practicada, emitida por un ingeniero informático, resultó, en síntesis, “que no se localizó en el dispositivo móvil del demandante mensajes (SMS) procedentes de la entidad vinculados a las transferencias referidas en la demanda, habiendo comprobado que no habían sido borrados ningún SMS de dicho dispositivo”.

«El cliente tiene derecho al reembolso inmediato del dinero detraído»

Además, el Tribunal advierte que, en virtud del art. 44 del Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera, Ibercaja “no ha probado, como le correspondía”, la causa o razón “por la que no proceda la responsabilidad reclamada en la demanda”.

Así las cosas, “la consecuencia de la declaración de responsabilidad es que el cliente tiene derecho al reembolso inmediato del dinero detraído y los intereses legales que fueron solicitados, no en base al contrato, sino en base a los arts. 1100 y 1108 del Código Civil”, razona el Tribunal.

Voz letrada autorizada

El letrado Miguel Ángel Marqués Lafuente, socio de Axio Abogados, ha asumido la dirección técnica del presente procedimiento.

En conversación con Economist & Jurist, el abogado explica que, “los clientes de Ibercaja, personas de edad avanzada y con problemas de salud para desplazarse a la sucursal bancaria en la operativa diaria, comprobaron a principios de enero de 2021 que se habían ejecutado en sus cuentas corrientes cuatro transferencias bancarias no autorizadas por ellos, además de las comisiones que Ibercaja adeudó por ello, ascendiendo el perjuicio económico ocasionado a un total de 50.182,10 euros”.

“Ante la negativa de Ibercaja a reembolsarles las cantidades defraudadas, interpusieron demanda ejercitando una acción de daños y perjuicios derivados de la responsabilidad contractual del banco al amparo del ya mencionado Real Decreto-Ley 19/2018, de 23 de noviembre, de regulación de los servicios de pago y otras medidas urgentes en materia financiera, que fue estimada íntegramente por el Juzgado”.

Miguel Ángel Marqués Lafuente. (Foto: Axio Abogados)

Ahora, como hemos descrito en líneas anteriores, la AP de Zaragoza confirma la sentencia dictada en primera instancia, “recordando que salvo que el banco acredite fraude o negligencia grave del usuario (los demandantes) corresponderá a la entidad financiera responder de los daños causados”, razona Marqués Lafuente.

El letrado confiesa que “los clientes incluso aportaron un informe pericial emitido por ingeniero informático acreditando que no recibieron SMS alguno que «pudiera hacerles sospechar», como alegaba, Ibercaja, que se estaban realizando tales operaciones en sus cuentas, confirmando además el perito que no se había procedido al borrado de mensaje alguno en su teléfono móvil”. Es decir, en definitiva, “ninguna prueba practicó la entidad bancaria para acreditar la responsabilidad, negligencia o fraude de los usuarios afectados respecto a las transferencias realizadas”, añade el jurista.

«Es la entidad bancaria quien ha de asumir la responsabilidad de la deficiente seguridad de sus sistemas informáticos»

Del mismo modo, el abogado subraya que el reciente fallo expone que “es la entidad bancaria quien ha de asumir la responsabilidad de la deficiente seguridad de sus sistemas informáticos si su banca electrónica puede propiciar o facilitar posibles fraudes informáticos mediante distintas técnicas, como el phishing”.

“La sentencia respalda los derechos de los clientes en un entorno propiciado por las propias entidades financieras al imponer a su clientela el uso masivo de la banca electrónica con el fin de ahorrar costes, confirmando la responsabilidad cuasi objetiva de las entidades bancarias ante fraudes informáticos ocasionados por terceros mediante el empleo de técnicas de suplantación de identidad (phishing, hacking, etc)”, opina  Marqués Lafuente. Asimismo, el fallo “recuerda a su vez que los bancos vienen obligados a desplegar una actividad probatoria que demuestre que fue el usuario quien actuó de forma fraudulenta o con negligencia grave, no siendo suficiente con imputar a la clientela tales comportamientos, máxime cuando la carga de la prueba recae en el banco”, concluye el jurista.

Ibercaja ha interpuesto recurso de casación y extraordinario por infracción procesal, pendiente de admisión por el Tribunal Supremo.