El Banco de Santander es condenado al pago de 30.000 euros sustraídos por ´phising’ a una clínica dental

El juez de refuerzo Pablo Ramos, del Juzgado de Primera Instancia e Instrucción de Aviles, en la sentencia 162/2023 notificada a las partes el pasado 27 de julio, estima la demanda interpuesta por la clínica Urzua Jatib SL contra el Banco Santander y condena a la entidad demandada a que reembolse a la demandante 29.551 euros, más los intereses legales. La demandante había sido víctima de phishing.

La sentencia, que no es firme, podría ser recurrida en segunda instancia por la entidad financiera, a la que también se la han impuesto las costas. El juzgador ha hecho suyas las tesis del abogado defensor de la víctima de phishing. La principal la falta de medidas de seguridad del banco, que permitió que se hicieran cinco transferencias en menos de una hora, lo que ocasionó a la clínica una salida de dinero cercana a los 30.000 euros.

La clínica ha sido representada por el despacho de Celestino García, abogado asturiano conocido en el sector legal por haber logrado sentencias importantes relacionadas con las tarjetas revolving en el Tribunal Supremo y que ahora compagina esa actividad con la del phishing y estafas bancarias que han crecido de forma notable en toda España.

En declaraciones a Economist & Jurist, señala que “en Asturias ha habido muchos casos que proceden de aquella etapa en la que Liberbank, que antes fue Caja de Ahorro de Asturias y luego pasó a ser Unicaja. En el cambio de titularidad hubo muchos asuntos que se dispararon. Tuvieron un problema con sus centralitas y el ciberdelincuente utilizo ese momento para incluso hackear los teléfonos y llamar a los clientes desde ese teléfono del banco. Eso generó muchos casos de phishing y transferencias no autorizadas”.

En ese contexto, los usuarios perjudicados son miles en estos últimos cinco años, “a los que hay que añadir otras víctimas relacionadas con las grandes entidades financieras, como es este caso el Banco de Santander, que en esta ocasión pudimos demostrar que fallaron sus sistemas de seguridad con este cliente, una clínica dental que hace tres años sufrió una estafa por el método de una página web clonada del Banco. Desde ahí la engañaron, cogieron sus datos e hicieron cinco transferencias”.

En el juicio fue clave el testimonio del jefe de seguridad de la entidad financiera, quien incurrió en algunas contradicciones “Demostramos que hubo cinco transferencias de las que el sistema sólo rechazo la primera y la cuarta.

La falta de medidas de seguridad del banco, que permitió que se hicieran cinco transferencias en 45 minutos. (Foto: E&J)

Responsabilizar al cliente

En este tipo de situaciones el proceder de los bancos está siendo muy parecido, al final traslada la responsabilidad al propio cliente, con lo cual el asunto acaba en vía judicial la mayor parte de las veces.

“Al principio, en estos temas el banco te contesta a nivel general con buenas palabras, habla de que se van a ocupar del tema y que lo mejor es poner una denuncia en comisaría. Se hace la reclamación en el banco y en unos diez días llega un escrito donde indican que no les puede atender la reclamación porque es un caso de negligencia grave de sus clientes”, indica García.

Sin embargo, para este abogado, “lo que el banco no tiene en cuenta es que el dolo excluye la negligencia. Es decir, si soy engañado por un delincuente profesional, salvo que el engaño sea muy burdo, ahí está el dolo. Es el caso de cuando te llaman del banco y te piden que les des los números de cuenta. Es tan real que parece como si fueran el teléfono de atención al cliente del banco. Mucha gente es engañada”.

En ese sentido “si hay dolo, lo que se llama en derecho penal el término engaño bastante y te engañan para sacarte el dinero, no puede haber negligencia por tu parte. Has caído en ese engaño. Este postulado no lo tiene en cuenta el banco, pero ya es parte de la jurisprudencia actual”.

Para Celestino García, “desde el momento que el cliente ve que la transferencia hecha no la ha autorizado, el banco debería devolver el dinero, y no lo hace, con lo cual el asunto se judicializa, lo que supone algo más de un año para recuperar ese dinero si el banco no apela en segunda instancia”.

El abogado reitera que en este caso “las transferencias se hacen en 45 minutos. Se hacen cinco en ese espacio de tiempo y eso debería haber alertado a los servicios de seguridad del Banco Santander. Pero no se encendió ninguna luz roja en el sistema”.

Otros detalles de este asunto que este letrado destaca es que “las transferencias se hacían a personas desde una clínica dental. Nuestro defendido siempre hace las mismas transferencias, sobre todo a proveedores. Todo es repetitivo. Aquí aparece el nombre de tres personas sin sus apellidos”.

Al mismo tiempo, este abogado subraya que “pudimos probar en el juicio que documentalmente ese contrato tenía un límite de transferencia de 20.000 euros y resulta que hicieron transferencias fraudulentas por casi 30.000. El sistema de este banco hizo aguas por todas partes, como se ha visto y recoge la sentencia”.

Otra cuestión importante sobre este asunto es que la IP del dispositivo desde el que se llevó a cabo estas transferencias fraudulentas estaba en Alicante y la clínica víctima de estas estafas realiza siempre todas sus operaciones financieras desde Aviles, menos estas. Sin embargo, el sistema del banco no detecto todas estas irregularidades”.

Celestino García, abogado que ha defendido los intereses de la empresa estafada. (Foto: Cesión propia)

Cuidado con las web falsas

La sentencia llega a la conclusión de que en este caso no hubo el contacto con la clínica afectada por SMS fraudulentos.” Un enlace que te mandan y que si pinchan pierdes todo tu dinero. Aquí fue que el cliente entró en una página similar. Paginas que siguen operativas y que engañan a los clientes”.

García señala que hay un sistema que puede determinar quién hizo esa página y desde cuando está operativa se llama Juice. Se puede saber dónde se hizo, dónde está registrada y si está vigente o no. Ni Unicaja ni el Banco Santander atacan penalmente estas webs para que se cancelen. Siguen operativas engañando a muchos clientes”.

En este caso, “se supone que es un overlay, lo que representa que el cliente está ante una página similar a la oficial del banco pero que no es la correcta. El cliente piensa que está metiendo sus datos en la web adecuada del banco cuando se está produciendo esa estafa a través de un malware. Con esa superposición se dan los datos al ciberdelincuente”, afirma el abogado.

En el juicio, las dos posturas estaban muy claras, el banco se eximía de responsabilidad pese a los hechos mientras que la víctima, a través de su abogado, demostró las irregularidades del sistema de seguridad de esta entidad financiera que permitió esas transferencias. “No entendemos cómo el sistema paró dos transferencias y permitió el resto”, aclara este abogado.

En dicha vista, “el banco presentó un documento en el que se señalaba que se avisaba al cliente que podría haber este tipo de fraudes por superposición de pantallas. Ese documento que se aportó resulta que es posterior a los hechos que tuvieron lugar en agosto del 2020, mientras que ese documento es de septiembre”.

Sobre este asunto, Celestino García aclara que ha tardado más de lo normal la justicia en pronunciarse. “En el 2020 tuvimos, con carácter previo, que interponer una demanda en materia de deber de información para tener toda la documentación. Queríamos saber dónde estaban registradas las iP y otras cuestiones”.

“Pese a que la orden de transparencia bancaria obliga a dar esa información, tuvimos que ir a juicio para lograrla. Hubo un juicio previo que terminó en la Audiencia Provincial y nos dieron la razón. Hubo que ejecutar la demanda para tener la documentación y a partir de ahí interpusimos la demanda en materia de fraude bancario para poder recuperar esos 30.000 euros. Es fundamental tener toda la información antes de interponer cualquier demanda para así asegurar el éxito de nuestra reclamación judicial”.