(www.eleconomista.es)
La Audiencia Provincial, en una sentencia del 21 de marzo de la que fue ponente el magistrado Francisco Tuero Aller, rechaza el recurso del banco, en este caso Unicaja, contra el fallo del Juzgado de primera instancia que dio la razón al cliente.
El banco alegaba que el usuario había actuado de forma negligente al pulsar en el enlace del SMS fraudulento. Concretamente, el cliente recibió un primer SMS haciéndose pasar por la entidad en el que le avisaban de un acceso no autorizado a su cuenta online. Cuando pinchó en el enlace, le llegó un segundo mensaje en el que se le pedía introducir la clave de seguridad para terminar la vinculación del dispositivo a la banca digital. El usuario siguió las indicaciones y pocos minutos después su banco real le comunicó que había hecho una transferencia de 6.000 euros a un tercero.
La entidad considera que la actitud del cliente fue negligente en el segundo paso al autorizar la vinculación de otro dispositivo a su banca digital. Sin embargo, el consumidor alegó que entendió que tenía que volver a vincular su dispositivo tras el presunto acceso no autorizado.
La sentencia señala que «el usuario procedió como con toda probabilidad habría realizado gran parte de la población» por más que pueda ser usuario de canales tecnológicos. Según el fallo, la estafa se cometió en junio de 2022, cuando Unicaja estaba ejecutando la integración tecnológica con Liberbank, tras la fusión. Entonces, varios clientes de la entidad sufrieron el mismo fraude. A la par, el Banco de España alertó seis meses antes, el 11 de enero de 2022, de que se estaban dando esa clase de delitos.
El juez señaló que a pesar de que la entidad era consciente de que se estaba produciendo esta estafa «no adoptó las técnicas o medidas de seguridad que fueran suficientes para evitar que se produjeran esta clase de fraudes en su ámbito de actuación». «Es más, el gran número de estafas cometidas por este medio en pocos días con relación a esta misma entidad bancaria evidencia la falta de medidas o la quiebra de las que pudiera haber tomado, pues difícilmente puede sostenerse que un gran número de usuarios hubieran incidido casi simultáneamente en una conducta gravemente negligente en sus interacciones con el banco», concluye la sentencia.
El fallo recuerda que el Real Decreto-Ley de servicios de pago de 2018 estipula que la entidad debe tomar todas las medidas de seguridad razonables para proteger las credenciales de seguridad personalizadas y cerciorarse de que solo sean accesibles para el usuario de servicios de pago facultados. Asimismo, fuera de los supuestos de actuación fraudulenta por parte del usuario o negligencia grave, la entidad deberá devolver el importe y recaerá en ella acreditar que el consumidor actuó de manera negligente.
Esta sentencia contrasta con la del Juzgado de Primera Instancia número 53 de Barcelona del 15 de marzo en la que se dio la razón al banco al considerar que la estafa fue culpa del cliente al validar el pago.