Estafas a través de SMS: un banco es condenado a reintegrar 2.123 euros por no proteger adecuadamente a un cliente
Una sentencia histórica responsabiliza a un banco del fraude cometido a un cliente a través de mensajes de texto por no protegerle lo suficiente y fallos en ciberseguridad. El Tribunal de Instancia de Guadix número 2 ha dictaminado que una entidad bancaria deberá reintegrar a un cliente la cantidad defraudada, que ascendió a 2.122,99 €, tras ser víctima de una estafa a través de mensajes de texto fraudulentos, conocido como ‘smishing’. La decisión se basa en la falta de medidas de ciberseguridad adecuadas por parte del banco —lo que facilitó la ejecución de múltiples transacciones ilegales en un breve lapso—, como ha indicado el Poder Judicial en un comunicado.
Detalles de la estafa y la respuesta del banco
El demandante se vio afectado después de recibir un mensaje de texto que aparentaba ser del banco, permitiendo así a los ciberdelincuentes acceder a su cuenta. A pesar de notificar la situación de manera inmediata y acudir a la oficina bancaria para bloquear su tarjeta, la entidad demoró en responder, lo que dio como resultado cargos no autorizados. El banco argumentó que las operaciones realizadas eran autorizadas y que no había negligencia por su parte.
Análisis del Tribunal
El tribunal examinó minuciosamente las pruebas, incluyendo la documentación proporcionada por el banco y el testimonio del demandante. Según el análisis de la normativa aplicable, especialmente el Real Decreto-ley 19/2018 sobre servicios de pago, se determinó que la carga de la prueba recaía en el banco, el cual no demostró que las operaciones realizadas fueran autorizadas. En este contexto, el tribunal concluyó que “no se ha probado fraude o negligencia grave por parte del usuario”, subrayando que el cliente actuó adecuadamente al notificar el acceso no autorizado a su cuenta.
Ciberseguridad y normativa aplicable
La sentencia enfatiza la protección de los usuarios y la responsabilidad de las entidades financieras en materia de ciberseguridad. Se hace referencia al Reglamento (UE) 2022/2554, conocido como DORA, el cual fijará requisitos específicos para la gestión de los riesgos tecnológicos y la notificación de incidentes, siendo vigente desde enero de 2025. DORA exige a las entidades implementar “políticas robustas de ciberseguridad y mecanismos de detección rápida de anomalías”.
Pruebas y concepciones sobre la ciberseguridad
El tribunal también reparó en la falta de suficientes políticas de gobernanza y control en el banco demandado, evidenciando que no se presentaron pruebas concluyentes de que existían medidas adecuadas para prevenir y actuar ante este tipo de fraudes. Se señala que “la trazabilidad de las operaciones demuestra que no fueron autorizadas”, y que se vincularon hasta cuatro dispositivos diferentes en un breve periodo, permitiendo hasta 24 transacciones sospechosas.
El juicio revela que, en caso de una operación de pago no autorizada, el proveedor del servicio debe devolver al cliente el importe de dicha operación de inmediato. No obstante, se recalca la falta de explicación por parte del banco sobre la diferencia en el manejo de las transacciones, ya que se bloquearon algunos cargos sin justificar por qué otros no fueron devueltos.
El tribunal no solo condena a la entidad bancaria a devolver la cantidad estafada, sino que también pone de relieve la crucial necesidad de implementar políticas y protocolos más estrictos para proteger a los clientes de incidentes fraudulentos. Esto incluye establecer sistemas de autenticación robustos y realizar comunicaciones proactivas con los usuarios en caso de ciberincidentes.
- Falta de medidas adecuadas de ciberseguridad.
- Retardo en la respuesta del banco ante el reclamo del cliente.
- Uso no autorizado de múltiples dispositivos para realizar transacciones.
- La normativa DORA establece criterios claros sobre la responsabilidad del banco.
La situación puntualiza la importancia de que las entidades financieras asuman una mayor responsabilidad en la protección de datos y activos de sus clientes, a fin de evitar que estos episodios se repitan en el futuro.
Como destaca el tribunal, “la falta de acción adecuada puede dar como resultado pérdidas significativas para los usuarios, lo que pone en entredicho la confianza en el sistema financiero”.
