La cara y la cruz de las estafas por phishing: Abanca paga a su cliente y el Santander se libra.
El phishing es una técnica de ciberdelincuencia que utiliza el fraude, el engaño y el timo para manipular a sus víctimas y hacer que revelen información personal o confidencial.
Así, detectar a tiempo estas manipulaciones se estima trascendental para, por ejemplo, mantener a salvo nuestros fondos bancarios de terceros ciberdelincuentes.
Sin embargo, pese a las guías y recomendaciones de entidades bancarias y asociaciones de consumidores de cómo localizar rápidamente algunos indicios del fraude, el cibercrimen está a la orden del día y nadie esta exento de ser víctima de este tipo de ataques.
Además, la respuesta de nuestros juzgados y tribunales ante este tipo de suplantaciones de identidad no siempre es la misma. De hecho, como acreditaremos a continuación, ante escenarios similares, la conclusión judicial puede ser totalmente opuesta.
A finales de agosto de 2021, el cliente recibió una llamada telefónica del servicio de atención al cliente de Abanca informándole que se estaba intentando realizar una transferencia de 10.000 euros desde su cuenta y que, para su anulación, resultaba necesario que el usuario facilitara unos códigos enviados por SMS a su teléfono móvil.
Sin embargo, el cliente fue víctima de una transferencia fraudulenta a Lituania y acabó perdiendo la cantidad de 4.891 euros.
Tras tomar conocimiento el mismo día de lo sucedido, el usuario comunicó la no autorización de la operación en su oficina de Abanca explicando allí el engaño sufrido. Además, al día siguiente, el hombre presentó una denuncia ante la Guardia Civil.
Consecuencia de lo anterior, en marzo de 2022, el Juzgado de Primera Instancia n.º 2 de O Porriño estimó íntegramente la demanda formulada por el consumidor y condenó a la entidad bancaria a pagar al actor la cantidad de 4.891 euros.
Ahora, la AP de Pontevedra, a través de su sentencia de 1 de diciembre de 2022, ha confirmado el fallo.
La Sala parte de que la autorización propiciada por el cliente se fundó en un comportamiento fraudulento de un tercero, extremo admitido incluso por la entidad demandada. Entonces, “deberá entenderse que la negligencia plasmada en la cesión de datos personales producida se debió al complejo engaño recibido, y no a la iniciativa o acción directa personal del usuario”, aclara.
Así las cosas, la Audiencia destaca el incumplimiento por parte de la prestadora “del servicio del deber esencial de facilitar un sistema de banca telemática seguro”.
A mediados de julio de 2021, el usuario perjudicado recibió un correo electrónico con apariencia verosímil de haber sido remitido por el Banco Santander.
En dicho email se informaba al cliente que debía actualizar su información bancaria a fin de desbloquear su cuenta que habría sido “suspendida temporalmente”. Así, tras clicar en un link que aparecía en el mencionado correo electrónico, se le redirigió a una página web que suplantaba la identidad del Banco Santander y en donde debía introducir sus datos personales, número de teléfono y los códigos de la tarjeta VISA.
Al día siguiente, al percatarse de que se había realizado una operación bancaria sin su autorización, se puso en contacto con la entidad para que bloqueasen su cuenta y cancelasen su tarjeta. Asimismo, por indicaciones de los profesionales del Santander, el usuario procedió a interponer una denuncia ante los Mossos d’Esquadra.
Como el banco no le devolvió la cantidad detraída fraudulentamente, el afectado se plantó en sede judicial ejercitando una acción de reclamación de 1.279 euros, por el incumplimiento contractual y malas prácticas y usos bancarios que atribuye a la entidad bancaria.
Sin embargo, el Juzgado de Primera Instancia e Instrucción n.º 4 de Santa Coloma de Farners (Girona), a través de una sentencia de 29 de diciembre de 2022 a la que ha tenido acceso Economist & Jurist, ha desestimado la demanda formulada por el consumidor afectado.
“Desde luego puede decirse que el demandante no actuó de forma diligente ante el correo electrónico que recibió, desde una dirección que claramente no estaba relacionada con el banco”, razona la Magistrada-Juez.
El email recibido no se correspondía con el oficial de la entidad bancaria, sino que era correo@elogim.com.
Además de lo anterior, la Juzgadora llama la atención que el correo electrónico recibido lo fue a altas horas de la madrugada. “Esto ya resulta sospechoso por cuanto las gestiones realizadas a través de entidades bancarias se efectúan dentro del horario laboral”, manifiesta.
Asimismo, la página web a la que le redirigió el link previsto en el correo electrónico “no tenía un dominio propio de la entidad bancaria, aunque la apariencia pudiera ser similar”, asegura la Magistrada-Juez.
Por último, la sentencia recuerda que la información solicitada por la página web relativa a los datos personales, credenciales y contraseñas secretas “fue voluntariamente facilitada” por el consumidor afectado.
Así las cosas, la Juzgadora estima que el cliente “actuó con negligencia grave al facilitar sus credenciales y sus contraseñas sin haber verificado, estando a su alcance, el remitente del correo electrónico recibido y el link que accionó, siendo claramente extraños y no concordando con los oficiales de la entidad bancaria”, concluye el fallo.