La Audiencia Provincial de Oviedo condena a Unicaja Banco al pago de 7.234 euros sustraídos a una clienta por Bizum

La Sección 4ª de la Audiencia Provincial de Oviedo, formada por los magistrados Francisco Tuero, presidente, y los magistrados Javier Alonso y Raquel Blázquez, en sentencia de 106/2024, de 11 de abril del 2024, ha estimado el recurso de apelación interpuesto por una consumidora que vio como desde Unicaja Banco se le extrajo la cantidad de 7.139 euros a través de la aplicación Bizum.

Este órgano jurisdiccional ha condenado a la entidad bancaria a que reintegre a la afectada ese dinero, más intereses, porque el riesgo de la operación debe asumirlo el banco; y, en consecuencia, anula la sentencia del Juzgado de Primera Instancia número 7 de Avilés (número 192/23) que fallaba lo contrario y eximia de culpa a la entidad financiera. Además, el fallo obliga al pago de las costas en primera instancia, sin hacer expresa declaración de las generadas por el recurso.

En los hechos probados se indica que la estafa se produjo el 2 de julio de 2022, a las 21.00 horas. En ese momento la mujer recibió una llamada de una persona que dijo ser empleado de Unicaja informándole de que alguien le estaba pirateando su cuenta bancaria y retirando dinero de ella. El falso trabajador del banco le dijo que para evitarlo debía desactivar su tarjeta de crédito y volver a activarla, así como repetir unas claves que le iban a llegar vía SMS y que, a la postre, permitieron múltiples transferencias de su cuenta hacia otra a través de Bizum.

El juez señala que se puede reprochar a la demandante, representada por el abogado Celestino García, experto en temas de tarjeta revolving y en defender este tipo de asuntos, un exceso de confianza y también que no leyera detenidamente los mensajes que le iban llegando, sino que “se limitaba a facilitar las claves al defraudador”.

No obstante, la Audiencia Provincial considera que el hecho de que todos los movimientos los hiciera una clienta que hasta entonces no disponía de la aplicación Bizum y que las direcciones de IP estuvieran ubicadas en terceros, así como que las compras fueran en entidades “tan poco entendibles en una persona que carece de un perfil financiero”, debieron alertar al banco.

Para la defensa de la clienta, “en este tipo de asuntos de phishing, las entidades financieras siempre quieren quitarse de en medio y endosar la culpa al cliente de esa sustracción online. Ellos tienen que dar seguridad al dinero de sus clientes y no pueden trasladar la responsabilidad a sus clientes. En este caso se engañó a mi representada y entregó esas claves a los delincuentes”.

La Audiencia Provincial de Oviedo considera que en este caso la banca digital de Unicaja Banco no ha funcionado correctamente. (Imagen: Poder Judicial)

Bizums y sustracción de dinero

Desde su punto de vista, García afirma que la cliente admitió no haber leído detenidamente los mensajes y que se limitaba a facilitar las claves al defraudador, «pero esta actuación es entendible». De ahí que considere que la entidad actuó en este caso de forma negligente y se la condene a devolver a la mujer que fue timada la cantidad que le fue sacada de sus cuentas a través de Bizum, herramienta que la afectada «nunca había utilizado en su vida». El letrado asegura que el propio banco «no tuvo la prevención de detectar esas irregularidades tan graves para la afectada».

Al mismo tiempo se pudo demostrar que se hicieron muchos movimientos ese día de julio y la trazabilidad de las IP desde donde se firmaron esas operaciones fraudulentas estaban en terceros países, como Chicago (EE. UU).

Sobre este tipo de operaciones, de las que E&J se ha hecho eco con asiduidad en los últimos meses, deja claro que las medidas de seguridad de la banca digital de los bancos, con la que ahorran mucho dinero son deficientes. “En la sentencia se indica que Unicaja Banco no puso los medios para que este tipo de irregularidades ocurriera. El hecho de que no es seguro es que este tipo de situaciones se genera con frecuencia”.

“Ante la alerta enviada, que la usuaria pensaba que le informaba el propio banco, de que alguien había realizado movimientos fraudulentos, ella se encontraba en ese momento viajando en autobús a su centro de trabajo a últimas horas de la tarde cuando recibió una llamada de un trabajador supuestamente del banco que le dijo que estaban sacando dinero de su cuenta bancaria,  lo que hacía más difícil que se concentrara y guardara la necesaria tranquilidad y prudencia ante el ataque informático (con la dificultad que supone atender a los mensajes y a la llamada que recibió)”.

El fallo desestima la anterior resolución del Juzgado de Avilés que no consideró culpable de la extracción del dinero a esta clienta, empleada dedicada a la hostelería. “La sentencia de la AP señala que no se puede imputar la negligencia al cliente, y sí la entidad bancaria, ya que permitió muchos movimientos en pocos minutos y que esa cuenta de la afectada fuera hackeada”, aclara García.

Al mismo tiempo, la sentencia subraya que “no puede exigirse a quien resulta engañado mayor precaución que a quien debía poner los medios para evitar el engaño, por lo que la hipótesis del banco de la negligencia grave por parte de la clienta hay que excluirla en este contexto concreto”.

Al final, la sentencia de esta Audiencia Provincial indica que “la clienta admitió no haber leído detenidamente los mensajes y que se limitaba a facilitar las claves al defraudador, pero esta actuación es entendible: es el banco el que no adoptó las medidas de seguridad suficientes para evitar estos fraudes”, aclaró.

En la sentencia también se alude a la fusión de estas dos grandes entidades bancarias, como Unicaja y Liberbank, que se inició en el otoño del pasado año y no fue pacífica en su desarrollo: “Las estafas se producían el viernes por la noche para que la gente afectada no fuera hasta el lunes a reclamar a su banco. Los sistemas de seguridad del banco hicieron aguas totalmente”.

Celestino García, abogado de las ‘revolving’, lleva asuntos de ‘phishing’ en toda España ante el auge de esta práctica irregular. (Imagen: Celestino García)

Una fusión bancaria irregular

De hecho, según se ha informado Economist & Jurist, el proceso de fusión de Liberbank y Unicaja Banco ha sido «un caldo de cultivo idóneo para los piratas informáticos». En Asturias, cientos de víctimas cayeron en la trampa de los hackers, que aprovecharon la fuga de datos sensibles de los clientes ante la brecha detectada en materia de seguridad para acceder a sus números de cuenta y apropiarse de sus ahorros mediante el engaño.

Muchos de estos clientes se han integrado en una plataforma de afectados por el ciberataque a Unicaja Banco. Las víctimas llegaron a tener abierta una cuenta en Telegram pero también fue atacada y tuvieron que cerrarla.

Las estafas han sido variadas. Hay gente que ni siquiera abrió la app, ni dio el código para desbloquear nada. Gente a la que le estafaron a través de Bizum, por tarjetas de crédito, o desde las cuentas corrientes, como en mi caso”, señala este abogado.

Entre los casos que más le han impactado estaba el de una estudiante a la que los piratas informáticos estafaron los 4.000 euros que su familia le había ingresado en su cuenta para realizar un máster; y el de un inquilino al que sustrajeron los 500 euros que tenía para pagar el alquiler y al que además le dejaron a deber otros 500 euros más. “También hay víctimas que cobran pensiones mínimas y tienen a su cargo a personas discapacitadas y a las que les entraron en su cuenta y se la dejaron a cero. Lo peor de todo -asegura- es que también hay casos en los que además de quitarles todo el dinero, les dejan sin saldo y a algunos casos incluso el banco tiene el valor de cobrarles intereses por la deuda”.

Al parecer algunos miembros de la plataforma recibieron ofertas de negociación de la entidad bancaria que oscilaban entre 50 y 80 por ciento, aunque con ella no llegaron ni a plantearlo.

Celestino García aconseja a todas las víctimas que acudan directamente al juzgado y no pierdan el tiempo con reclamaciones a la entidad bancaria, ante su falta de respuesta. En algunos de los casos, junto a la denuncia en los juzgados, los particulares afectados optan por denunciar este tipo de asuntos ante la AEPD, con lo cual la multa que reciben las entidades bancarias en situaciones parecidas son elevadas.