La banca ha conducido a su clientela a marchas forzadas a la era digital, cerrando la presencia de oficinas y la atención directa al público, y abriéndoles las puertas a la interminable oficina virtual, donde a la vez que pueden realizarse ya operativas de todo tipo las amenazas están a la vuelta de la esquina. La ciberdelincuencia camina zancadas muy por delante de las labores de vigilancia y protección de la banca y solo hay que observar la realidad diaria de casos de estafas sufridos por los clientes. Así le ocurrió a una consumidora navarra, víctima de la modalidad de estafa conocida como phising, que perdió 2.400 euros por una operación que ella desconocía y cuya entidad, Banco Santander, se negaba a restituirle argumentando que la clienta había incurrido en una falta de diligencia de su información personal. Ahora, el Juzgado de Primera Instancia número 6 de Pamplona le ha dado la razón a la mujer y condena al banco a devolverle el importe. La clienta ha sido defendida por la abogada Arantxa Ros, de Iribarren Artola Abogados.
La operación fraudulenta se produjo el 11 de septiembre de 2022 cuando la consumidora recibió un SMS del Banco Santander, en el propio canal de comunicación de SMS de la entidad en el que recibe todas las notificaciones y operaciones. En el mismo se decía que "se ha iniciado sesión desde un nuevo dispositivo, si no reconoce dicha acción verifique inmediatamente..." y se le ofrecía un enlace a una web con apariencia similar a la del banco real.
El mensaje era una trampa para captar las contraseñas bancarias, pero la mujer creyó que era un mensaje de alerta real porque ella no había iniciado sesión en ese momento en la banca online. Por ello, clicó en el link que le aparecía en el mensaje, en aras de verificar su identidad, siguió las instrucciones que ahí se le ordenaban e introdujo su clave personal.
Ese mismo día, sin que ella fuera consciente, se cargó a su tarjeta de crédito una operación no autorizada ni consentida por la demandante por importe de 2.400 euros desde Lituania en Comercio Binance. Los ciberdelincuentes se habían aprovechado de que la mujer hubiera caído en la trampa que de ningún modo le había sido advertida de introducir sus contraseñas en una web que no se correspondía con la del banco Santander.
La entidad sostenía que no iba a hacerse cargo del importe, ya que hubo negligencia y/o incumplimiento de sus obligaciones de guarda y custodia de sus credenciales bancarias por parte de la demandante. Alega que la mujer no actuó de forma diligente y ella respondió que únicamente facilitó la clave para entrar a su banco, pero que no validó ninguna compra, no apareciéndole ningún código, ni ningún mensaje de compra y no dando más claves personales. Además, el cargo que se le imputó a la tarjeta, recordó la clienta, se le hizo a una tarjeta que ni siquiera estaba activada, no habiéndola utilizado jamás antes.
Fraude sin negligencia de la demandante
La jueza recuerda que se trata de un "tipo de fraude muy específico del que es fácil ser víctima, sin que ello implique una actuación negligente del cliente, dado lo bien articulada en su ejecución que está esta modalidad de fraude". Por ello, entiende que se concluye que el Banco Santander "no habría acreditado la observancia de los deberes de diligencia que le eran exigibles en la autenticación de las operaciones de pago, pues ni habría probado haber implementado un mecanismo antiphising de protección de los usuarios de los instrumentos de pago por ella emitidos frente al uso fraudulento por un tercero de páginas imititativas de las propias para hacerse con las credenciales del instrumento". "No se aprecia negligencia grave de la clienta al introducir las claves de uso personal en una página que imitaba las del sitio oficial de la entidad".
La jueza
