A J.P. le sucedió lo que más teme cualquier usuario de la banca online: fue víctima de phishing. J.P. tenía una cuenta corriente con dos tarjetas vinculadas en la entidad bancaria ING. En 28 de febrero de 2024, recibió “dos mensajes temporales en su teléfono móvil provenientes supuestamente de la entidad”. En el primero, se le advertía “que se había bloqueado una operación en su cuenta bancaria”. En el segundo, se le decía que “debía completar una información relativa a sus tarjetas bancarias para bloquear una operación fraudulenta”.
Los piratas informáticos había echado el anzuelo, pero J.P. lo ignoraba. Y no desconfió cuando acto seguido recibió una llamada procedente de un número de teléfono “que se identificaba como ING Majahonda”. El interlocutor le indicó que “había un cargo fraudulento retenido en su cuenta y que debía acceder a un link enviado por SMS”. Además, durante la conversación le instaron a que “traspasase el dinero de su cuenta a otra supuestamente abierta a su nombre”.
J.P. mordió el anzuelo y sufrió “una primera pérdida de 4.960 euros por un cargo en su tarjeta”. Después, el 28 de febrero de 2024, padeció “un segundo cargo no consentido, que se hizo efectivo el día 5 de abril de 2024 con su tarjeta de crédito”. El timo ascendió en este caso a 7.500 euros. J.P. pidió a su banco que le devolviese el dinero estafado, pero la entidad bancaria se negó alegando que el cliente “actuó con una grave negligencia al contestar a un SMS o llamada fraudulenta, aportando sus claves de seguridad, lo que propició que el estafador pudiera usar sus tarjetas y realizar dos cargos”.
Ante la negativa del banco a devolverle el dinero, J.P. recurrió a FACUA, una asociación de consumidores sin ánimo de lucro, para demandar al banco. El asunto recayó en el Juzgado de Primera Instancia e Instrucción número 1 de Baeza, cuya titular, Sara Castillo, dictó sentencia el pasado 20 de mayo dando la razón a J.P. y condenando a la entidad bancaria “a abonar al consumidor la cuantía de 12.450 euros”. Además, el banco tendrá que pagar a su cliente los intereses y las costas del juicio.
La sentencia se fundamenta en lo establecido en la directiva europea del año 2015 sobre servicios de pago en el mercado interior. Esta normativa establece que la “negligencia grave” por parte de un consumidor “entraña una conducta caracterizada por un grado significativo de falta de diligencias”. Un ejemplo de actuación negligente consistiría en “guardar las credenciales usadas para la autorización de una operación de pago junto al instrumento de pago, en un formato abierto y fácilmente detectable para terceros”.
En el caso de J.P., la jueza considera que “no mantuvo una actitud despreocupada respecto de sus claves ni permitió un acceso generalizado a las mismas, sino que es un tercero el que, con una actitud fraudulenta y compleja, se valió de un complicado sistema que le permitió obtener las claves necesarias para poder efectuar operaciones con sus tarjetas”. Por lo que concluye que “no hay negligencia de carácter grave” en la conducta de J.P “sino un enrevesado sistema creado por terceros para simular la intervención de la entidad bancaria”.
Además, el cliente se puso en contacto con el banco el mismo día en que se dio cuenta de los movimientos no autorizados y, según el Reglamento delegado de la Unión Europea sobre “las normas técnicas de regulación para la autenticación reforzada de clientes”, los proveedores de servicios de pago deben disponer “de mecanismos de supervisión de las operaciones que les permitan detectar operaciones de pago no autorizadas o fraudulentas”.
