Condenan a una entidad bancaria a devolver 7.500€ por un 'phishing' a una constructora de la Ribera de Navarra

La Sección Tercera de la Audiencia de Navarra ha condenado a una entidad bancaria a abonar 7.500 euros a una empresa de la construcción de la Ribera por un caso de phishing bancario que sufrió y en el que realizó una transferencia por tal importe a un hacker. La constructora, defendida por el Bufete Iribarren Abogados, alegaba que la plataforma virtual de la entidad había tenido una brecha de seguridad que había ocasionado el fraude. El Juzgado de Primera Instancia e Instrucción 3 de Tudela consideró que el banco no era responsable de lo ocurrido y lo absolvió porque atribuía una negligencia a la constructora, pero la Audiencia ha revocado dicho pronunciamiento y entiende que concurre la responsabilidad de la entidad bancaria, por lo que dicta el fallo condenatorio.

Los hechos sucedieron el 22 de septiembre de 2020 cuando a la empresa de la Ribera se le bloqueó la aplicación Ruralvia y llamó a Caja Rural de Navarra comunicándole el bloqueo. Le pidieron “un pantallazo” para enviarlo al servicio informático y a su vez la administradora de la empresa hizo lo mismo incluyendo los SMS recibidos en su teléfono móvil con claves para realizar dos transferencias, una de 8.000 y otra de 7.500 euros. A continuación, apagó el ordenador y “ese día se acaba todo”. Al día siguiente comprobó que se había realizado una transferencia inconsentida. La trabajadora de la entidad bancaria que atendió el asunto recordó en el juicio que “vio algo raro” y que manifestó a la administradora que no metiera claves.

Sin embargo, el tribunal descarta la negligencia al “no constar que su actuación derivara de una iniciativa propia, sino que ha sido arrastrado por un comportamiento fraudulento de tercero”. La sentencia estimó que la prueba pericial presentada por la entidad demandada acreditó que la transferencia se realizó siguiendo el proceso correcto, cumpliendo el sistema de seguridad de la plataforma de banca electrónica implementada por Caja Rural de Navarra, no habiéndose detectado anomalías técnicas, quedando todas las operaciones en el sistema debidamente contabilizadas y registradas.

Además, el informe pericial aportado concluye que el informático que lo emite no apreció ningún fallo ni incidencia técnica en el funcionamiento del servicio de banca a distancia. Sin embargo, la Audiencia entiende que “la pericial aportada por la demandada no basta para considerar como hecho probado que la operación no se vio afectada por un fallo técnico u otra deficiencia del servicio Ruralvia o bien que la empresa, a través de su personal, hubiera actuado de manera fraudulenta o incumplido deliberadamente o por negligencia grave las obligaciones de la norma que regula los servicios de pago”.

Añade que dicha pericial “no aporta criterio técnico alguno en función del cual quepa descartar que en el caso concreto se utilizara por un tercero cualquier tipo de software o malware que le permitiera realizar operaciones como si se hubieran efectuado desde la dirección de IP de la empresa o que fuera imposible para un tercero interceptar el mensaje SMS con el que se comunicaba el password o contraseña para llevar a cabo la transferencia”.