La Sección Tercera de la Audiencia navarra ha condenado a la entidad CaixaBank a restituir 4.370,79 euros a una clienta que sufrió dos operaciones fraudulentas víctima de un phising bancario que le hizo creer que estaba interactuando con su banco cuando en realidad era el gancho para cometer el fraude. La sentencia confirma una previamente dictada por el Juzgado de 1ª Instancia e Instrucción 2 de Aoiz, que ya había fallado a favor de la clienta declarando el incumplimiento de las obligaciones contractuales de la entidad bancaria.
El caso se centra en dos operaciones no autorizadas realizadas el 26 de agosto de 2022. La demandante, defendida por el Bufete Iribarren Abogados, alegó que estas operaciones fueron el resultado de un caso de phishing, en el que recibió un correo electrónico falso que imitaba la imagen de la entidad y solicitaba la actualización de sus datos de seguridad. En la creencia de que el mensaje era legítimo, introdujo sus credenciales en una web fraudulenta, lo que permitió a los ciberdelincuentes acceder a su cuenta y realizar transacciones sin su consentimiento. Fueron dos operaciones no autorizadas con la tarjeta de crédito. La mujer acudió el mismo día a su sucursal bancaria para bloquear la tarjeta y las aplicaciones y le informaron de que no podía hacer nada.
No hubo negligencia de la demandante
En el juicio, el banco se opuso a su pretensión y argumentó que las operaciones fueron correctamente autenticadas y que cualquier responsabilidad recaía en la demandante por negligencia al compartir sus credenciales. Sin embargo, el tribunal razona con contundencia que la entidad no ha acreditado que las operaciones fueran efectivamente autorizadas por la clienta, ni que esta hubiera incurrido en negligencia grave. “No hay prueba alguna”, concluye.
El fallo señala que el sistema de seguridad de la entidad era insuficiente. Las notificaciones de autenticación se enviaron a una aplicación, pero no a un dispositivo concreto controlado por la clienta, lo que permitió que un tercero pudiera aprobar las operaciones sin ser detectado. En este caso, el tribunal considera que la clienta fue víctima de un fraude bien orquestado y actuó de buena fe, sin indicios de negligencia grave. En cambio, fue la entidad la que falló en proteger adecuadamente sus servicios digitales.
Desde el Bufete Iribarren Abogados remarcan que “este fallo no solo protege a la víctima del fraude, sino que establece un precedente importante para futuras reclamaciones derivadas de fraudes electrónicos. Refuerza la idea de que los bancos deben demostrar que sus sistemas son seguros y que no basta con culpar al usuario cuando ocurre un acceso fraudulento. Por tanto, se consolida un criterio de los tribunales: si eres víctima de phishing y no has cometido una imprudencia grave, el banco debe asumir la pérdida si no prueba que su sistema es infalible”.
