Una sentencia histórica del Supremo puede decantar los caso de los afectados por el phishing en ABANCA

No se sabe cuántos, pero son decenas, tal vez cientos de clientes de ABANCA los afectados por casos de phishing. El hackeo de los ciberdelincuentes a ABANCA permitió el filtrado de datos sensibles de muchos usuarios que, más tarde, fueron utilizados en ciberestafas con las que robaron miles de euros a las víctimas que, en muchos casos, todavía siguen lcuhando por recuperar su dinero, toda vez que la entidad que preside Juan Carlos Escotet niega ningún tipo de responsabilidad. Ahora, una nueva sentencia de la que se hace eco el despacho Oulego Abogados y Consultores, puede ser determinante para que la justicia dirima en favor de las víctimas de phishing. 

¿UN CAMBIO DE PARADIGMA?

En su comunicado, desde Oulego Abogados hacen hincapié en la problemática de las ciberestafas, que se han multiplicado en los últimos años, especialmente en la modalidad del phishing "que consiste en suplantar la identidad del banco de diversas formas para obtener las claves y datos personales de los usuarios con la finalidad de acceder y apropiarse de sus fondos depositados en el banco de diversas formas: trasferencias, pagos por bizum, creación de tarjetas virtuales o pagos realizados con las tarjetas de crédito de la víctima".

En esa línea, destacan que en los últimos tiempos "han aumentado los riesgos de seguridad de los pagos electrónicos, debido a la mayor complejidad técnica de estos, el incesante incremento del volumen de pagos electrónicos en todo el mundo y los nuevos tipos de servicios de pago". Por ello, demandan la existencia de "servicios de pago fiables y seguros es condición esencial para el buen funcionamiento del mercado de servicios de pago, por lo que los usuarios de esos servicios deben gozar de la debida protección frente a tales riesgos".

Tanto el ordenamiento jurídico español como europeo contemplan el uso de estos servicios de pago en donde se establece un "régimen de responsabilidad cuasi objetivo" de los bancos para los pagos no consentidos por los usuarios. "La entidad bancaria debe devolver al cliente el importe de estos pagos", subrayan. 

Pese a esto, desde Oulego Abogados destacan que, hasta ahora, los bancos "deniegan las reclamaciones previas", el paso inicial antes de emprender medidas legales, lo que lleva a procesos judiciales en ocasiones muy largos y que, en ocasiones, se resuelven con sentencias donde "aprecian negligencia en los clientes víctimas de phishing y estafas bancarias y terminan denegando el reintegro de los fondos". No obstante, son más los fallos en los que se establece que la responsabilidad es de los bancos y se los condena a devolver el dinero sustraídos a sus clientes. En Galicia ha ocurrido en varias ocasiones, siendo la de la Audiencia Provincial de Ourense emitida el junio pasado una de las más relevantes.

Ahora es el Tribunal Supremo el que en su Sala Primera dictaminó el pasado 9 de abril que existe una "importante evolución en el tratamiento jurídico de las operaciones no autorizadas derivadas de fraudes por phishing", nombradamente aquellas que comprenden "la modalidad de duplicado de SIM". "Este fallo constituye un avance en la consolidación de un régimen de responsabilidad cuasi objetiva para las entidades financieras, y pone de manifiesto la necesidad de que los bancos adopten medidas de protección activa y no meramente pasiva frente a los crecientes riesgos del entorno digital", declaran.
 

AVISOS DEL AFECTADO Y PASIVIDAD DE LA ENTIDAD

En esta ocasión, la sentencia sería producto de un caso de phishing sobre un cliente de Ibercaja Banco, pero al tratarse de un análisis del Supremo podría extrapolarse a cualquier entidad bancaria. Sobre este episodio, en el que un cliente perdió más de 83.000 euros a través de transferencias de bizum y de la plataforma de la entidad bancaria, los ciberestafadores utilizaron "datos de autenticación del titular y los códigos de confirmación enviados mediante SMS".

"No obstante, previamente a la ejecución de estas operaciones, el cliente había advertido al banco de diversas señales de riesgo: había recibido mensajes SMS de confirmación de operaciones que no había solicitado, había sufrido cargos no autorizados en su cuenta vinculados a servicios de Google y, días antes, su esposa recibió un correo alertando de un intento de acceso no autorizado a su cuenta. Esta cadena de hechos fue comunicada al banco en tiempo y forma, solicitando la cancelación de la tarjeta y medidas de seguridad adicionales", indican, lamentando que, pese a las advertencias, "el banco no adoptó ninguna medida preventiva". 

"No bloqueó la operativa, no reforzó la autenticación, ni siquiera emitió una alerta. Fue otra entidad bancaria (Banco Santander), la que advirtió a Ibercaja de una transferencia sospechosa, lo que permitió descubrir el fraude. Solo entonces se inició el procedimiento de recuperación de los fondos, con éxito parcial", indican.

En este escenario, el TS estima que no se exime a la entidad bancaria de responsabiliad cuando el cliente niega haber autorizado las operaciones, aunque previamente hayan "cumplimiento formal de los protocolos de autenticación"

"El Alto Tribunal recuerda que, conforme al artículo 36 del Real Decreto-ley 19/2018, en concordancia con la Directiva PSD2 (UE) 2015/2366 y su desarrollo reglamentario (Reglamento Delegado UE 2018/389), una operación solo puede considerarse autorizada si el usuario ha dado su consentimiento real, no meramente formal. Y si el cliente niega haber autorizado la operación, la carga de la prueba recae en el banco, que debe demostrar no solo que la operación fue autenticada, registrada y ejecutada correctamente, sino también que no se vio afectada por fallos técnicos o deficiencias del servicio prestado (art. 44 RDL 19/2018)", detalla el despacho. 

Así las cosas, el Supremo incide en que "el hecho de que las operaciones fueran validadas mediante credenciales correctas no basta para considerar que el consentimiento fue otorgado por el titular, sobre todo cuando concurren indicios de fraude previamente comunicados por el usuario".

MÁS ALLÁ DE LA VERIFICACIÓN

Con estos criterios, el Supremo establece que los bancos no pueden limitarse a "verificar que se introdujeron correctamente usuario, contraseña y código, sino que debe analizar el contexto de la operación: volumen, frecuencia, horario, destinatarios, historial del cliente, etc". "No es razonable que no se active ninguna alerta ante quince transferencias nocturnas consecutivas, por importes elevados, cuando días antes el cliente ya había reportado intentos de acceso no autorizados", recuerdan. 

El Supremo también abunda en términos como "deficiencia del servicio", que "abarca cualquier falta de diligencia o mala praxis en la prestación del servicio" más allá de posibles fallos del sistema informático, ya que estaría referido a "cualquier falt ade diligencia o mala praxis en la prestación del servicio, en el entendimiento de que el grado de diligencia exigible al proveedor de los servicios de pago no es el propio del buen padre de familia, sino que la naturaleza de la actividad y los riesgos que entraña el servicio que se presta".

De igual manera, subrayan que las "operaciones no autorizadas" abrigan también a aquellas "que se han iniciado con las claves de usuario y contraseña del usuario" pero sobre las que el cliente "niege haberlas autorizado". "En cuyo caso el banco deberá acreditar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio que presta", advierten. 

Con estos mimbres, la responsabilidad del banco solo se podrá excluir "cuando se demuestre que el usuario ha incurrido en negligencia grave o fraude". Sobre el caso particular, el Supremo descartó la negligencia grave del cliente, que además de advertir al propio banco llegó a cambiar las contraseñas y pidió medidas de seguridad. La respuesta fue la "pasividad" de Ibercaja.

"El fallo también deja sin efecto la cláusula contractual de exoneración de responsabilidad incluida en el contrato de banca digital, al considerar que vulnera la normativa imperativa de protección al consumidor, y, por tanto, es ineficaz", agregan. Para José Ramón Oulego, socio director de la firma Oulego Abogados y Consultores, la explicación del Supremo "representa un paso decidido en la consolidación de un modelo de responsabilidad preventivo, proactivo y centrado en la protección del usuario". "Los bancos no pueden limitarse a verificar credenciales. Deben analizar el contexto, los indicios de fraude y actuar cuando el riesgo es evidente", concluye.