PHISHING. LE ROBAN EL DINERO DE SU CUENTA: la odisea de un cliente para recuperar los 40.000 euros que le robaron al clonarle la tarjeta: «Me sentí solo y desprotegido por el banco».
El juzgado 99 de Primera Instancia de Madrid considera que si la entidad cree que el cliente actuó de forma negligente, debe demostrarlo.
Cuando en 2019 Carlos -nombre figurado- descubrió un importante roto (36.893,65 euros de agujero) en su cuenta corriente, además de rabia, incertidumbre o miedo, sintió desconcierto. Los cargos, perfectamente detallados en el asunto de las transferencias, hacían alusión a unas vacaciones que él no había vivido. Menciones a alquiler de yates o casas en Ibiza, una vida de lujo que, sin embargo, le cerró las puertas de otras más mundanas, como la entrada de un piso. Todo, porque en algún momento le habían clonado la tarjeta, lo que también hizo que tardase más en darse cuenta de lo sucedido. Ahora, por fin, un juez ha dicho que el banco tiene que devolverle el dinero.
«Fíjate, le tenía miedo a estas cosas y no tenía ni la aplicación del banco», rememora con cierta resignación el afectado. Así, se limitaba a entrar «esporádicamente en la página con el ordenador», que fue justo lo que hizo el lunes después de un fin de semana de sustracciones. «Se me quedó la cara de tonto que te puedes imaginar», explica.
En ese momento no lo sabía, pero, además del robo, comenzó una odisea que tres años después aún continúa, aunque ya con una sentencia a su favor. Tras acudir a la sucursal del BBVA se enteró de cómo se había producido el robo: tras clonar de alguna forma la tarjeta -aún no sabe cómo pudo ser- y obtener su número pin, cambiaron desde un cajero el número de teléfono para las comunicaciones y confirmaciones. La entidad avisó de esto, pero con un correo electrónico que fue a parar a la carpeta de spam.
«Me sentí solo y desprotegido por el banco», lamenta el afectado, que entonces tenía 39 años. «Dijeron que el teléfono no se podía cambiar desde el cajero, pero luego sacaron el informe de todas las operaciones de esos días y ahí figuraba». También se queja de que, a diferencia de un robo o, incluso, un caso de phishing, él no pudo denunciar antes porque no era consciente de lo que ocurría: «Decían que había sido un problema mío, pero no había denunciado nada porque no había perdido en ningún momento la tarjeta».
Tres años después, el juzgado 99 de Primera Instancia de Madrid ha condenado al BBVA a devolver el dinero sustraído, más intereses, al cliente. Según la sentencia, si las entidades consideran que los usuarios cometieron una negligencia que permitió al criminal hacerse con sus ahorros, deben aportar pruebas de ello.
El documento cita el artículo 44 del RDL 19/2018, que «impone a la entidad financiera la carga de la prueba de que el usuario del servicio de pago cometió fraude o negligencia grave en los casos en que el usuario niegue haber autorizado una operación de pago ya ejecutada o alegue que ésta se ejecutó de manera incorrecta». Es decir, si el banco dice que debió haber una confirmación por parte del cliente, como introducir una clave recibida en un SMS, y éste mantiene que no lo hizo, deberá ser la entidad la que lo demuestre.
Además, en lo que respecta a las «obligaciones de las partes», la sentencia también trata de esclarecer cuál debe ser el papel de cada una, mediante una nueva cita -en este caso, de la resolución de una instancia superior, la Audiencia Provincial de Lérida-. Así, apunta que «en lo que al consumidor se refiere, el nivel de diligencia exigible es la del buen padre de familia, mientras que respecto de la entidad bancaria la diligencia exigible es la del profesional».
Por otro lado, se argumenta, también en base a la resolución anterior, que frente al riesgo de clonaje «corresponde a la entidad bancaria (quien facilita la tarjeta y se lucra mediante el cobro de comisiones por su tenencia y uso) la obligación de adoptar todos los medios a su alcance para conseguir la eficacia del sistema, lo que exige que las transacciones se efectúen en un marco de seguridad garantizada por la entidad». En este sentido, si el sistema falla, y salvo grave negligencia o que se trate de un fraude, «debe proclamarse la responsabilidad directa de la entidad».
En opinión de Rodrigo Royo, abogado colaborador de Asufin que ha llevado el caso, hay dos claves importantes en todo este asunto. La primera, la decisión del juzgado de trasladar a los bancos la necesidad de demostrar el mal uso de sus servicios. La segunda, la importancia de denunciar estos crímenes.
«Nos encontramos ante un caso que se aleja muchísimo de la media», explica Royo. «En estos asuntos, normalmente no suelen llegar a 3.000; suelen hacer dos o tres cargos», apunta, y «hay gente que por 1.000 euros no se mete en abogados». Y eso, recuerda, «el propio malo lo sabe, por eso juegan con esas cantidades».
Royo coincide con la decisión tomada por el juez y considera que es la entidad la responsable. «El banco se defendió diciendo que ellos no pueden ser responsables si nosotros hemos clicado o si a nosotros nos han robado la tarjeta… Pues si no son responsables, apaga y vámonos». Además, se muestra esperanzado por una sentencia «demoledora», que cree que no será recurrida, aunque la compañía sí ha solicitado una aclaración. Carlos, por su parte, está «desanimado», pero, tras tres años de travesía legal, es más pragmático: «Ya me había hecho a la idea de que lo había perdido, así que si viene, pues bienvenido».
Patricia Suárez, presidenta de la Asociación de Usuarios Financieros, explica que ante los nuevos fraudes digitales siguen teniendo «total vigencia» los consejos tradicionales. Es decir, contraseñas complejas -con letras, números o símbolos- que no se repitan y que se cambien con cierto tiempo.
«También es aconsejable disponer de equipos actualizados, también los smartphones, para implementar las mejoras que ofrecen las compañías en materia de seguridad», apunta Suárez. Y, por otro lado, «estar especialmente atentos a los resquicios de seguridad que aprovechan los ciberdelincuentes», por lo que no es recomendable abrir enlaces o SMS que pidan datos o realizar acciones sospechosas, como puede ser iniciar sesión en una cuenta o descargar aplicaciones o programas.
En el caso de que sea demasiado tarde, lo mejor es contactar inmediatamente con el banco y con la policía para realizar la correspondiente denuncia.