La Audiencia Provincial de Huesca, en sentencia firme de hace seis meses, ha condenado a una entidad financiera, en este caso Ibercaja, a que asuma el desembolso del dinero estafado a una cliente mediante una práctica de phising por valor de 19.800 euros, al entender la sala que la víctima tan sólo habría tenido que asumir el resultado de esta estafa en el caso de negligencia grave propia, cosa que no se acredita en este caso al haber sido víctima precisamente de una estafa informática.
La sentencia, que responde al recurso de apelación del banco tras fallar en el mismo sentido en primera instancia en el juzgado de Fraga nº 2, tiene su importancia por cuanto afectaría a la gran cantidad de casos de phising, vishing o smishing que están siendo investigados por Guardia Civil o Policía Nacional, como el caso reciente de la organización criminal desarticulada recientemente que se habría apropiado delictivamente de más de cien mil euros a 53 víctimas aragonesas en la denominada como Operación Ochocientos Setenta debido a la cantidad que se les solicitaba a través de SMS.
La sala presidida por Mariano Sampietro analizó, con Pedro Santiago Gimeno como ponente, el recurso interpuesto por la entidad aragonesa a la sentencia 79/2021 de la magistrada-juez del juzgado nº 2 de Instrucción de Fraga que estimaba la demanda interpuesta por una cliente de Ibercaja y la condenaba al pago de 19.800 euros con los intereses legales, además de las costas.
La Audiencia analizó los fundamentos de derecho que arrancan con la impugnación del banco, al concebir errónea la valoración probatoria e indebida la aplicación de la normativa de relación contractual entre las partes aplicadas en la 1ª instancia, por lo que Ibercaja pidió la revocación de la sentencia en recurso ante la Audiencia Provincial de Huesca.
En la sentencia se explica el mecanismo delictivo denominado phishing como la práctica fraudulenta de obtención mediante engaño de datos de acceso informático de una persona, que determina la revelación de su información confidencial tras clicar la persona engañada en un enlace/link fraudulento que los estafadores han usado para generar confianza en la víctima al suplantar la identidad de un tercero, en este caso la entidad bancaria (proveedor de los servicios de pago), lo que da lugar a que, a continuación, se lleven a cabo unas acciones que no fueron realmente autorizados por el cliente y que la entidad bancaria materializó de forma inmediata al no detectar que las credenciales de su cliente estaban siendo utilizadas por un estafador.
En los Fundamentos de Derecho, la sentencia alude a la Ley 19/2018 de 23 de noviembre sobre servicios de pago que en su artículo 44 dicta: "Cuando un usuario de servicios de pago niegue haber autorizado una operación de pago ya ejecutada o alegue que ésta se ejecutó de manera incorrecta, corresponderá al proveedor de servicios de pago demostrar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio prestado por el proveedor de servicios de pago".
Prosigue en el mismo artículo que aunque se haya demostrado que la operación fue autenticada, registrada con exactitud y que no se vio afectado por un fallo técnico u otra deficiencia del servicio, el registro por éste (el proveedor de servicios de pago) de la utilización del instrumento de pago no bastará necesariamente para demostrar que la operación fue autorizada por el ordenante ni que "éste haya actuado de manera fraudulenta o incumplido deliberadamente o por negligencia grave una o varias de sus obligaciones".
En el artículo 45.1 de la citada ley, se indica que "el proveedor de servicios de pago del ordenante devolverá a éste el importe de la operación no autorizada de inmediato y, en cualquier caso, a más tardar al final del día hábil siguiente a aquel en el que haya observado o se le haya notificado la operación, salvo cuando el proveedor de servicios de pago del ordenante tenga motivos razonables para sospechar la existencia de fraude y comunique dichos motivos por escrito al Banco de España".
Partiendo de estos asentamientos legales, "en este caso, se considera que no está debidamente acreditada esa negligencia grave por parte de la actora, es decir, no se ha demostrado ni que concurra fraude por parte de la demandante, al reconocerse que ha sido víctima de phishing, ni que concurra una negligencia grave en aquella, como se desprende de la prueba practicada".
En este sentido, recoge el texto de la sentencia recurrida: "El acceso se efectuó a lo que ella creía que era la web de Ibercaja y se realizó mediante una utilización adecuada y habitual de sus datos y sus claves. En el documento de reclamación a Ibercaja se menciona que el acceso éste fue realizado a través del buscador MicrosoftEdge, de lo que se infiere que como resultado de la búsqueda le dio la página web fraudulenta que se hizo pasar por la de la entidad. Una vez identificada, introdujo el código que le proporcionaron vía SMS. Respecto de éste, si bien es cierto que todavía no estaba realizando operación financiera alguna, no se aprecian motivos para que un ciudadano medio pudiera sospechar del carácter fraudulento del mismo, pues estamos ante un mensaje de texto que provenía del mismo número de Ibercaja. Pudiendo entenderse, además, que se le estaba exigiendo como un requisito adicional de identificación para poder acceder y operar en la banca electrónica".
La facilidad y sencillez en el manejo de estos datos conlleva un riesgo de fraude electrónico, aprecia la Audiencia, "sin que sea exigible al cliente medio un conocimiento informático sobre las eventuales técnicas de apropiación de sus datos personales, expuestos en la red en aras de posibilitar la agilidad y tratamiento masivo de transacciones electrónicas".
Al contrario, considera que son las entidades bancarias las que se benefician de este tipo de servicios de banca online que evitan costes asociados a la atención de sus clientes en la red comercial con oficinas y personal. "La diligencia exigible a las mismas se corresponde con la que se exigiría un "comerciante experto" y no la de un buen padre de familia, lo que le obliga, ante la realidad de prácticas delictivas como el referido phishing a aumentar las medidas de seguridad específicas, por lo que no basta con medidas genéricas de protección o avisos estereotipados".
Esta insuficiencia ha sido igualmente significada en sentencias de audiencias provinciales de Navarra, La Rioja, Málaga y Madrid en los últimos meses, la última que califica de "responsabilidad cuasi objetiva para la entidad financiera la prevista en la legislación" expuesta salvo prueba de culpa grave del ordenante.
Previamente al fallo desestimatorio del recurso del banco, que es a su vez de ratificación de los autos del Juzgado de Fraga, asevera que "debe concluirse que la entidad demandada no ha probado, en este caso, que la conducta de la víctima de un fraude, pueda ser calificada de grave en la custodia y uso de sus claves de seguridad en el sistema de servicios de pago on-line (sistema de pago que ofrece y pone a su servicio la entidad demandada), como pretende el recurrente, ya que la ley únicamente le exime de responsabilidad en supuestos de negligencia grave, fuera de los cuales, debe asumir la entidad recurrente el reintegro de los importes dispuestos y no autorizados que, en este caso, son 19.800 euros, desestimándose por ello este motivo de impugnación de la entidad demandada".
LOS EFECTOS DE LAS SENTENCIAS
El goteo incesante de sentencias en audiencias provinciales en este mismo sentido que atribuyen a las entidades financieras las responsabilidades que explicita la ley no ha tenido de momento la repercusión debida, y esto es debido que en este tipo de estafas las entidades financieras insisten en trasladar a sus clientes la responsabilidad de la consumación de la estafa ignorando interesadamente su propia responsabilidad de no haber implantado las medidas anti-phishing que tanto autoridades judiciales como policiales les vienen reclamando desde hace años. Si gracias a la banca electrónica han podido mantener sus elevados márgenes de negocio por la reducción de costes en oficinas y personal (como explica la sentencia), lo justo es que tengan que acarrear con las consecuencias negativas de una deficiente implementación de medidas de seguridad que protejan el patrimonio de sus clientes del acceso de ciberestafadores, tal y como tienen obligación tanto contractual como legal.
“Que no te engañen (los bancos), TÚ no fuiste el negligente”
La empresa oscense ardiCiber especializada en recuperación de cantidades por ciberestafas, instalada en el Parque Tecnológico Walqa, lleva analizando desde hace años el fenómeno de las estafas por smishing/vishing https://www.eldiariodehuesca.com/economia/atento-estas-estafas-nuevas-modalidades-phishing-sms-spoofing-vishing_12205_102.html , y ha llegado a la conclusión que lleva en su imagen de marca, y con la que se dirige en primer lugar a sus nuevos cliente, en la que afirma que el verdadero responsable de que por negligencia se haya consumado una estafa informática no puede ser el cliente que la ha sufrido, sino el banco que no ha implantado las medidas obligadas que hubieran evitado la consumación de la ciberestafa y que negligentemente no tomaron.
ardiCiber ha comprobado como reclamaciones prejudiciales supervisadas por ella de clientes víctimas de ciberestafa han sido contestadas por sus entidades bancarias negándose éstas a reintegrarles los importes estafados a sus clientes, tal y como tienen obligación legal, al aferrarse los bancos a la falsa imputación de que sus propios clientes han sido gravemente negligentes en la custodia de sus claves digitales, o incluso insinuando una falsa denuncia de sus clientes al hablar de la estafa como “presunto engaño”, ignorando ostensiblemente el efecto de la sentencia de la Audiencia Provincial de Huesca y obligando en consecuencia a sus clientes a tener que iniciar un procedimiento judicial contra ellas.
Además, se produce una circunstancia judicial que agrava las consecuencias negativas de las víctimas más humildes ya que las entidades bancarias en casos de importes estafados de menos de 2.000 euros, al negarse a atender las reclamaciones, saben que el procedimiento judicial necesario para que el cliente pueda recuperar lo estafado no lleva aparejada condena en costas, por lo que la banca no tiene incentivo a atender la reclamación, pues aún en el caso de una condena, por muy segura que ésta sea, no tendrá que pagar los costes de los profesionales que su modesto cliente tendrá que afrontar para recuperar el importe estafado. En cambio, en casos de estafas por importe superior a clientes VIP sí que estarían dispuestos a atender sus reclamaciones, pues en estos casos además de perder al cliente, lo más seguro es que también pierdan el juicio y las costas del mismo, primando más en este caso el interés comercial que el judicial.
En resumen, la banca siempre gana…, ¡¡aunque pierda el juicio!!, ya que los departamentos jurídicos estiman que el coste de pagar los juicios que pierdan ante clientes que se atrevan a demandarlos es menor que el coste de abonar toda reclamación que les llegue, repitiéndose así el patrón de las reclamaciones por clausulas hipotecarias que han colapsado los juzgados en estos últimos 10 años.
Quienes tengan cualquier duda o constancia de haber sido víctimas de cualquier estafa o situación anómala pueden ponerse wn contacto con perjudicados@ardiciber.com