El Juzgado de Primera Instancia 2 de Pamplona ha condenado a CaixaBank a devolver 3.575,79 euros a una mujer navarra que fue víctima de dos operaciones de compra no autorizadas desde su cuenta bancaria, en una estafa que sustrae datos particulares de las víctimas en lo que se viene a conocer como phising. Los abogados Iñaki Iribarren y Arantxa Ros, de Iribarren Artola Abogados, representaron a la ciudadana navarra a la que ha dado la razón la jueza.

La víctima recibió un email supuestamente de la entidad bancaria en su móvil, donde se le indicaba que su tarjeta iba a ser bloqueada si no accedía al link para desbloquearla. Ante la certeza de que este email era igual al que habitualmente envía su banco, la mujer accedió al mensaje y siguió los pasos, introduciendo datos de acceso a su aplicación Caixabank Now. La entidad se comunica habitualmente con la clienta a través del teléfono, ya seapor email o por sms, por lo que ella entendió que estaba realizando loque su banco le estaba ordenando. Posteriormente, se percató de que a las 22.00 horas del 6 de julio de 2021 y a las 22.23 horas del cobro de dos operaciones no autorizadas por ella con cargo en su tarjeta y cuyo concepto era Rumbo. Fue entonces cuando llamó al banco para notificarlo e interpuso denuncia a la Policía Foral, que posteriormente archivó al no haber podido localizar a los autores.

La entidad, pasados casi dos meses desde que se alertó del phising, procedió a devolver las cantidades para luego, al día siguiente, volver a retirárselas de su cuenta. Entendía que la clienta había incurrido en una negligencia grave al facilitar sus claves a un tercero que no verificó que no era CaixaBank. La jueza, sin embargo, cree que CaixaBank "guarda silencio sobre si comunicó al Banco de España el fraude y de forma nada clara insinúa que no se hizo en plazo". Y recuerda que "se establece un sistema de responsabilidad cuasi objetiva dela entidad proveedora del servicio de pago, con inversión de la carga probatoria, al presumirse la falta de autorización, si el titular lo niega, como ocurre en el presente supuesto. En este caso, el phishing se origina con la suplantación de la identidad del banco por parte del phisher con la finalidad de adquirir información confidencial sobre contraseñas de cuentas bancarias, tarjetas de crédito o cualquier otra información enrelación con el banco, que permita entrar en las cuentas de los usuarios en Internet de banca electrónica". La jueza concluye indicando que "en este caso sin validar el acceso del nuevo dispositivo y menos aún verificar la identidad del cliente y confirmación de la compra. Recae la carga de la prueba quien a criterio de la jueza no ha acreditado actuación negligente de la cliente, por no custodiar sus claves y entregarlas a terceros troyanos".

Desde el despacho Iribarren Artola subrayan que "es una sentencia pionera en Navarra, pues no hay sentencias de phishing bancario que hagan responsable a los bancos de una mala administración de los fondos de los clientes, pues los ataques de ciberdelincuentes deben ser detectados por sus servicios de seguridad. No olvidemos que los bancos tienen una responsabilidad cuasi objetiva en estos temas, pues así lo indica el TS".