El método phising, que consiste en el envío de SMS o de emails engañosos que derivan al receptor a una web de apariencia casi idéntica a la del banco que gestiona sus ahorros, sigue dando disgustos diarios a clientes de entidades bancarias y a las propias financieras que, como es este caso, tienen que abonar el vaciado de cuentas de sus clientes por las compras fraudulentas. Ahora, el Juzgado de Primera Instancia número 5 ha condenado al Banco Santander a abonar a una clienta 1.489 euros, que es la cantidad que se le cargó de manera fraudulenta por compras en El Corte Inglés de Preciados, pese a que la mujer solo contaba en su cuenta con un saldo tres veces menor (456 euros).

La demandante sostenía que el 23 de febrero de 2022 recibió un SMS supuestamente de Banco Santander para que confirmase sus datos y así evitar una restricción de la cuenta. Dicho SMS le redirigía a través de un link a una página idéntica a la aplicación de Banco Santander en la que se le pide que introduzca su nombre, apellidos, DNI y firma electrónica. Seguidamente le mandaron un SMS con un código de verificación para confirmar la actualización de los datos, código que introdujo, efectuándose entonces la compra fraudulenta por importe de 1.489 euros en el Corte Inglés de Preciados. Asegura que la compra se cargó a su tarjeta de crédito, vinculada a una cuenta que no disponía de ese saldo en el momento de la transferencia (solo contaba con 456,32 euros) y con la que nunca se había realizado un cargo con un importe tan elevado, lo que muestra el carácter fraudulento de la operación, que se podría haber impedido si la entidad hubiera dispuesto mecanismos adecuados para ello. Indica que, tras percatarse el 26 de febrero de 2023 de la existencia de un movimiento no autorizado, se lo comunicó al banco e interpuso la correspondiente denuncia en la Policía Nacional. La investigación policial no pudo identificar finalmente al autor de los hechos para que respondiera penalmente del asunto.

La entidad demandada se opuso a la petición de su clienta reconociendo que el phishing se consumó al incumplir la demandante su deber de custodia respecto de sus claves de acceso a la Banca Electrónica, ya que, facilitó sus datos a un tercero que es quien ha provocado la causación del daño.

No había medidas de seguridad suficientes

En la sentencia, la jueza reconoce que la entidad carecía de medidas de seguridad exigibles razonablemente. Y es que en el phishing se usan técnicas para ganarse la confianza del usuario del instrumento de pago y aprovecharse de una simulación cada vez más perfeccionada. El autor del phishing no se limita a simular la página web, el logotipo u otros signos que confundan a la víctima, sino que además hace creer en la existencia de una situación de peligro o urgencia que mueve a la víctima a obrar precipitadamente, bien guiada por el temor (como el bloqueo de las cuentas o de las tarjetas de crédito), o simulando una relación jurídica legítima (como la entrega de un paquete, en casos de empresas de mensajería).

La resolución añade que en este tipo de estafas es imprescindible la colaboración activa de la víctima, por lo que los autores se esmeran en que la apariencia de la comunicación sea creíble. A ello debiera responderse por la entidad bancaria también con mecanismos de protección cada vez mayores y mejores. No basta con la simple inclusión de avisos en la web, pues las entidades prestadoras del servicio de banca online deben dotarse de medidas suficientes que garanticen al usuario la seguridad de las operaciones. En este supuesto en concreto, conociendo el funcionamiento de este tipo de estafas, la entidad bancaria no debería permitir que los usuarios cambiasen tan fácilmente de número de teléfono asociado a las operaciones de compra electrónica. Igualmente, tal y como sostiene la parte actora, que la operación se realizara sin saldo para ello, excediendo notablemente de las operaciones habituales en la tarjeta y desde un teléfono también distinto al designado en el contrato debió alertar de un posible fraude.

En consecuencia, la entidad demandada "no ha acreditado la observancia de los deberes de diligencia que le eran exigibles en la autenticación de las operaciones de pago, pues ni ha probado haber implementado un mecanismo antiphishing de protección de los usuarios de los instrumentos de pago por ella emitidos frente al uso fraudulento por un tercero para hacerse con las credenciales del instrumento; ni habría puesto en conocimiento del usuario por vía correo electrónico el cambio del número de teléfono vinculado para las operaciones de pago; ni tampoco de avisarle por el mecanismo habitual de contacto con el cliente que estaba haciendo una operación de crédito muy por encima de su saldo en cuenta corriente".