Un 'phising' de casi 12.000 euros

Las estadísticas muestran que la ciberdelincuencia está en alza. Cada día surgen nuevos SMS fraudulentos, estafas y otras maniobras para robar los datos de los usuarios y quedarse con su dinero. Ahora, la Audiencia de Sevilla ha condenado a una entidad bancaria a devolver 11.872,17 euros, más los intereses y las costas, en relación con dos cargos fraudulentos realizados en su tarjeta de crédito realizados desde Amsterdam. El banco culpó a la usuaria de una negligencia grave que la Justicia ha descartado rotundamente.

El abogado Francisco J. Calle Bautista, que representa a la clienta, explica que el fraude se produjo cuando la usuaria recibió el 11 de septiembre de 2020 en su teléfono móvil mensajes desde el canal oficial de la entidad bancaria en los que le solicitaban introducir cierta clave para completar el registro de Apple Pay asociado a su tarjeta, lo cual efectuó "en la creencia y en la confianza de que se trataba de una información confidencial y segura proveniente" del banco, pues así constaba en tales mensajes y sin que hubiera nada que le hiciera sospechar de lo contrario.

Además de lo anterior, continúa el letrado, el límite diario de cargos con la tarjeta estaba establecido en 1.000 euros, por lo que "en teoría nunca podrían haberse producido los dos cargos de más de 5.000 euros cada uno en dos días consecutivos, lo cual evidencia, o bien una flagrante negligencia y responsabilidad" por parte del banco, ya que "su sistema aparentemente seguro ha fallado clamorosamente al permitir esta situación, o bien que alguien fraudulentamente haya aumentado dicho limite diario a 6.000 euros para hacer dos disposiciones de fondos de 5.900 euros aproximadamente cada uno entre los días 11 y 12 de septiembre de 2020".

La condena al banco se basa en el Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera, que deroga expresamente la Ley 16/2009, de 13 de noviembre, de servicios de pago.

La sentencia de la Sección Octava de la Audiencia de Sevilla, a la que ha tenido acceso este periódico, ha rechazado ahora el recurso de apelación que presentó la entidad bancaria, al considerar que el mismo "no puede prosperar toda vez que para que cese la responsabilidad de esa entidad es preciso que los cargos cuyo importe se reclama hubieran sido motivados por una negligencia grave de la clienta del banco y que esa negligencia grave sea debidamente acreditada".

El tribunal recuerda que el artículo 44 del Real Decreto-Ley 19/2018 estipula que "corresponderá al proveedor de servicios de pago, incluido, en su caso, el proveedor de servicios de iniciación de pagos, probar que el usuario del servicio de pago cometió fraude o negligencia grave" y en el caso analizado "no está probado que el banco solicitase ningún tipo de confirmación al teléfono móvil de la actora para las operaciones de darse de alta en el servicio de Apple Pay y en la de modificación de 2.000 a 6.000 euros, ni actuación gravemente negligente de la usuaria de los servicios de pago que sin duda fue víctima de un fraude perpetrado mediante la apropiación de su clave que se la confía a quien ha suplantado la identidad del proveedor de los servicios de pago sin que este acredite que tenia operativos los medios eficaces para que ello no sucediera".

El usuario, prosiguen los magistrados, recibió un SMS del propio banco, así lo reconoce expresamente la entidad apelante, "solicitándole que introdujera cierta clave para completar el registro de Apple Pay al dársela desencadenó la estafa informática, sin que esa transmisión suponga una negligencia, y mucho menos grave, con independencia de que el medio de pago hubiera o no sido solicitado por la usuaria, ya que en el caso de que no lo hubiera pedido podía sospechar en un ofrecimiento de un nuevo servicio por la entidad ofrecido sin haber sido pedido, la demandada debió comprobar que era su cliente el usuario de ese nuevo servicio de pago una vez que se aumento el limite cuantitativo del mismo y al proceder a cargar dos importes que son los que ahora se reclaman", afirma tajante la sentencia.

Por su parte, el banco había alegado que envió el mensaje porque se había iniciado el proceso de registro de la tarjeta en la aplicación de pagos, se introdujo la clave y se completó el registro de su tarjeta, "siendo la misma activada y usada para la realización de varias operaciones por importe total de 11.872,17 euros, los cuales el banco entendió en todo momento que estaban siendo producidas por la demandante". A esto añadía que era la clienta la que había "incumplido los deberes de guarda y custodia de sus claves personales y secretas, y además, ha actuado de manera negligente facilitando de esta manera que se consumara el daño sufrido", unos argumentos que la Audiencia rechaza por completo.