¿Qué es el smishing?

El smishing es una técnica de estafa que utiliza mensajes SMS para suplantar la identidad de una entidad, intentando engañar a los usuarios para que proporcionen información personal o transfieran dinero.

¿Cómo actuó Juan ante el fraude?

Juan actuó rápidamente para comunicar el fraude a ING y denunció los cargos indebidos, pero se encontró con la negativa del banco para reembolsar el dinero.

¿Qué opinó el juez sobre la responsabilidad de ING?

La jueza determinó que ING no había actualizado correctamente sus sistemas de seguridad y permitió operaciones que excedían el límite máximo fijado por el cliente, lo que contribuyó al fraude.

¿Qué medidas debería tomar un usuario para evitar ser víctima de smishing?

Los usuarios deben ser cautelosos al recibir SMS de entidades financieras, no hacer clic en enlaces sospechosos y siempre verificar directamente con la institución cualquier aviso recibido.

La justicia da la razón a un consumidor: ING deberá devolver 12.450 euros ante la falta de seguridad de la entidad

NOTICIA de Javi Navarro

23/09/2025 13:56

El Juzgado de Primera Instancia e Instrucción número 1 de Baeza ha dictado una sentencia histórica que obliga a ING a reembolsar la cantidad de 12.450 euros a un socio de FACUA —organización en defensa de los consumidores— que fue víctima de una estafa mediante smishing, una técnica de fraude a través de mensajes SMS que suplantan la identidad de una entidad bancaria. La decisión del tribunal no solo condena a la entidad a devolver el dinero, sino que también incluye el pago de 327 euros en intereses legales generados desde la presentación de la demanda y 2.015 euros en costas judiciales.

La falta de medidas de seguridad de ING

En su fallo, la jueza Sara Castillo Liranzo destaca que el afectado «actuó conforme a los conocimientos de cualquier ciudadano medio y fue presto en notificar los cargos indebidos». Además, la magistrada considera que la entidad bancaria «no ha actualizado de forma suficiente los sistemas de seguridad», permitiendo así operaciones que superaron el límite máximo establecido por el cliente.

Detalles del incidente

El 28 de febrero de 2024, Juan de la Poza Pérez, residente de Baeza, recibió un SMS que supuestamente provenía de ING, comunicándole que su cuenta estaba bloqueada por una operación no autorizada. Posteriormente, recibió una llamada desde un número que aparentaba ser de ING, donde le insistieron en que debía acceder a un enlace incluido en el SMS para resolver el supuesto problema. Juan, confiando en la veracidad de la llamada, siguió las instrucciones y terminó transfiriendo dinero a una cuenta que él creía que estaba siendo creada para proteger su saldo. En ese instante, se dio cuenta de que la situación no era normal y cortó la comunicación, pero ya era demasiado tarde.

Operaciones no autorizadas

Al contactar con ING para informar sobre el suceso y solicitar que se bloquearan las operaciones no autorizadas, descubrió un cargo de 4.950 euros por concepto de «Revolut Dublin», operación que no autorizó y para la cual no recibió los códigos necesarios para la doble autenticación. Este cargo excedía el límite diario de 3.000 euros que había establecido en su tarjeta. Ante la gravedad de la situación, Juan presentó una denuncia ante la Policía Nacional.

Días después, se produjo un segundo cargo fraudulento —esta vez por 7.500 euros— que se realizó el mismo día que el primero. ING, al igual que en el caso anterior, no ofreció ninguna solución.

Al verse desamparado por la entidad bancaria, Juan decidió unirse a FACUA Jaén, quien envió un escrito al Servicio de Atención al Cliente de ING demandando la devolución del dinero. Sin embargo, ING rechazó la solicitud, argumentando que «con carácter general las entidades bancarias no pueden ordenar la retrocesión unilateral de un pago realizado con tarjeta, pues son mandatos de pago irrevocables». La entidad también mencionó que las operaciones habían sido validadas «de acuerdo con las directrices marcadas por la normativa europea de servicios de pago PSD2, mediante autenticación reforzada».

La resolución judicial

Inconformes con la respuesta de ING, FACUA y Juan llevaron el caso ante los tribunales. La jueza Sara Castillo Liranzo determinó que no hubo negligencia grave por parte del afectado y que la entidad bancaria no proporcionó una justificación adecuada por las operaciones que se llevaron a cabo sin confirmación adicional, a pesar de exceder el límite establecido por el cliente. Como resultado, el tribunal ha condenado a ING a reembolsar los 12.450 euros, más los intereses legales y las costas judiciales.