Una pareja recupera el dinero sustraído de su cuenta por duplicado de la tarjeta SIM del móvil, al quedar acreditada la responsabilidad del banco

El hecho de que los ciberdelincuentes se apropien ilícitamente del dinero de la cuenta corriente del cliente a través de un duplicado de la tarjeta SIM del número de teléfono de la víctima, no exime de responsabilidad al banco, ya que la estafa sólo es posible de ejecutar si existe una brecha de seguridad en el acceso al sistema de autentificación de pago.

Así ha fallado un juzgado de Toledo, en cuya sentencia dictada este 2 de mayo (disponible en el botón ‘descargar resolución’) afirma que la entidad bancaria tiene la responsabilidad de reintegrar el dinero que le ha sido sustraído a su cliente mediante este tipo de estafa de phishing, por no contar con protocolos de seguridad que pudiesen evitar que un ciberdelincuente efectuase las transferencias.

En el presente caso, la entidad bancaria condenada en su condición de proveedor de servicios de pago ha sido Unicaja Banco, que tendrá que devolver a sus clientes, un matrimonio, 11.775 euros, cantidad total que le fue sustraída a través de cinco transferencias bancarias con cargo a su cuenta. 

El “modus operandi”

Los hechos se remontan a junio de 2022, cuando en apenas cuatro días se realizaron desde la cuenta bancaria de la pareja cinco transferencias no autorizadas por éstos tras ser suplantada su identidad en la autentificación de las mismas, al haber sido previamente duplicada su tarjeta SIM de forma fraudulenta.

Unicaja, por su parte, rechazaba que existiera responsabilidad del banco, alegando que la entidad actuó diligentemente al recibir la autorización de su clienta para vincular otro dispositivo. 

El banco afirmaba que uno de los clientes debió de pinchar en el enlace que adjuntaba el SMS en el que se avisaba de que se iba a producir un cambio de dispositivo vinculado, facilitando las claves de usuario y contraseña, siendo ese nuevo dispositivo el que luego ordenó y autorizó con clave OTP las transferencias. Por lo que la culpa de la estafa era exclusivamente de los clientes, quienes actuaron de manera negligente al autorizar ese cambio de dispositivo.

Sucursal de Unicaja.(Imagen: Unicaja)

Los clientes no actuaron de forma negligente

El caso ha sido resuelto por el Juzgado de Primera Instancia número 2 de Toledo. El magistrado-juez titular del Juzgado ha señalado que se debe tener en cuenta si en el momento de producirse el hecho podía existir la sospecha por parte del usuario de que se trataba de una estafa. En el caso de que fuera así, podría atribuirse negligencia al usuario por comunicar las claves o facilitar el acceso a terceros ajenos a sus cuentas.

Sin embargo, en el presente caso, el Juzgado falla que no es posible atribuir esa responsabilidad a los clientes ya que el relato sobre la duplicación de la tarjeta SIM se acredita con el certificado de la compañía telefónica.

Asimismo, no consta que los demandantes intervinieran en ningún momento en la duplicación de la tarjeta ni que autorizaran la vinculación de otro dispositivo a la banca online, sino que todo se hizo sin intervención. “Si se duplicó la tarjeta fue precisamente para poder vincular otro dispositivo sin necesidad de esa intervención”, señala el juzgador.

La sentencia afirma que la entidad bancaria no actuó ante una serie de movimientos extraños en la cuenta bancaria de los clientes. Pues, tan solo dos minutos después de modificarse el dispositivo vinculado, sin acreditar en modo alguno que esa modificación la llevara a cabo el titular de la cuenta, comienzan a realizarse transferencias por un importe importante, algo que no era habitual en esa cuenta.

“Es evidente la deficiencia del protocolo de seguridad, que dio lugar no solo al fraude, si no, sobre todo, al incremento de su importe”, recoge la sentencia.

Por todo lo expuesto, el Juzgado ha estimado la demanda de los clientes y ha condenado a Unicaja Banco a reintegrarles todo el dinero que les fue sustraído, 11.775 euros. 

(Imagen: E&J)

La entidad bancaria no está exonerada de su deber legal

Juan Pablo Palomar, letrado y socio de Palomar Abogados, bufete que dirigió la defensa del cliente bancario que obtuvo la indemnización, resume la operativa manifestando que “las barreras de seguridad en ciertas compañías de telefonía son extremadamente endebles, lo que hace que ciberdelincuentes, tras hackear las claves de acceso a la banca online, se presenten ante los establecimientos distribuidores de telefonía con identificación personal falsa, obtengan sin apenas dificultad un duplicado de la tarjeta SIM y secuestren de esta forma el número de teléfono del cliente del banco. Ello les permite  canalizar desde sus propios dispositivos la operativa de validación de cuantas operaciones de pago deseen efectuar con cargo al usuario del servicio de pago”.

Duplicar fraudulentamente una tarjeta SIM, según manifiesta el abogado, “es la antesala de la anulación, por parte del ciberdelincuente, de la autenticación de doble factor creada por los bancos para, en teoría, dotar de solidez al sistema de seguridad de la banca online”; quiere decirse con ello que mediante tal operativa fraudulenta, los códigos OTP o push para la validación de las operaciones dejan de recibirse por el cliente del banco, y pasan a ser recibidos por el dispositivo del ciberdelincuente, que contará así con los minutos suficientes para la toma de un absoluto control de la validación de los pagos y la consumación del fraude.

Según afirma Palomar, tal circunstancia no exonera a la entidad bancaria de su deber legal de adoptar medidas progresivas y eficientes de seguridad, a través de sus registros de trazabilidad y sus propios métodos de inteligencia artificial, que actúen de filtro para poder bloquear e impedir, incluso en el supuesto descrito, la consumación de estas   operaciones fraudulentas de pago”.