Condenado un banco a indemnizar a un policía de Navarra estafado por 'phising'

Diario de Noticias 26/04/2023

Condenado un banco a indemnizar a un policía de Navarra estafado por 'phising'

La Audiencia confirma que la entidad tendrá que devolver 3.930 euros a su cliente por un fallo de seguridad

Enrique Conde
PAMPLONA | 26·04·23 | 07:38

Una persona manipula un ordenador tratando de buscar una brecha de seguridad

Una persona manipula un ordenador tratando de buscar una brecha de seguridad. PATXI CASCANTE

La Sección 3ª de la Audiencia navarra ha confirmado una condena a CaixaBank después de que un cliente, que trabaja como policía, fuera víctima de una estafa a través de un 'phising' con el que se le cargó en su tarjeta una compra que él no había autorizado por 3.930 euros. La sentencia es firme después de que el Juzgado de Primera Instancia número 2 de Pamplona ya hubiera estimado su demanda en primer lugar.

El demandante interpuso la reclamación judicial contra CaixaBank por daños y perjuicios por incumplimiento de contrato. Denunciaba que se le había cargado una operación no autorizada el 28 de mayo de 2021, cuando recibió un SMS informando de que debía actualizar los datos de su tarjeta Visa, accediendo al enlace remitido y siguiendo los pasos contenidos en el mismo en la creencia de que era un mensaje de su banco, ya que el acceso fue a una aplicación con una apariencia propia de la entidad.

A continuación fue informado por la entidad de un cargo en su tarjeta de 3.930 euros que no había sido ejecutado ni autorizado por él, por lo que presentó una reclamación en la entidad y denunció ante la Policía. En principio, tal cantidad le fue reembolsada por la entidad pero un año después fue informado de que se iba a efectuar un recargo de aquel importe en su cuenta por imputarle negligencia al facilitar sus datos de seguridad a terceros.

La sentencia de primera instancia le dio la razón al demandante y expuso que la Ley de Servicios de Pago establece una responsabilidad cuasi-objetiva de la entidad proveedora del servicio de pago, presumiéndose la falta de autorización si así lo indica el titular, pasando a ser carga de la entidad la demostración de la concurrencia de autorización, todo ello salvo fraude, incumplimiento deliberado o negligencia grave del usuario.

La sentencia descartó la negligencia del demandante

La resolución analiza cómo el demandante recibió un SMS enlazándole a una web de apariencia oficial del banco, a lo que dio credibilidad y por ello facilitó los datos de su tarjeta. Concluyó que la entidad demandada no acreditó que se llevara a cabo el doble control de autenticación, toda vez que no consta ni la fecha, ni el establecimiento de compra, ni el terminal móvil al que se dirigió el enlace a CaixaBank now para validar la compra. También dice la sentencia que el banco no aclara las averiguaciones llevó a cabo para revocar un año después su inicial decisión de reembolsar los cargos.

Y descarta negligencia del denunciante, al no constar que su actuación derivara de una iniciativa propia sino de un engaño por una suplantación difícilmente detectable”. El tribunal resalta ahora que no comparte la alegación del banco de que se había llevado a cabo la operación con el doble filtro de autenticación del cliente. Dice la sentencia que “no se verificó necesariamente la identidad real del usuario ordenante” y que “en ningún momento demuestra que está garantizada la identidad del usuario”.

En última instancia, la entidad recurrió la resolución porque “la circunstancia personal de ser el demandante agente de la Policía redundaría en la valoración de la gravedad de la negligencia, toda vez que en tal condición profesional debería ser conocedor de las alertas y recomendaciones de seguridad contra el phising publicitadas por la propia Policía. La Sala dice que “se trata de una alegación absolutamente genérica, pues no se ha profundizado en las funciones profesionales asignadas al demandante sin demostrar en particular que haya trabajado en el grupo de ciberdelincuencia, como tampoco se ha concretado el grado de conocimiento personal adquirido por tales advertencias, que a falta de prueba es el mismo conocimiento de la ciudadanía”.

El letrado del demandante Iaki Iribarren

El letrado del demandante, Iñaki Iribarren.

El letrado: “Si el banco no puede probar la identidad, algo falla”

El abogado demandante, Iñaki Iribarren, de Iribarren Artola Abogados, destaca la “alegría que nos produce que el fallo sea firme y que el cliente pueda cobrar directamente tras un duro trabajo”.

El letrado reflexiona sobre el fondo de este asunto que “las entidades han abaratado personal y cerrado oficinas, por lo que obligan a sus clientes a usar la banca electrónica para poder operar. Indirectamente nos han convertido en sus empleados sin sueldo. Esto debe hacer recapacitar a los jueces, pues son las propias entidades quienes han elevado el riesgo de que sucedan este tipo de fraudes en las cuentas de los clientes y por tanto, tendrán que tener mayores exigencias a la hora de velar por las cuentas que custodian. Si la entidad no puede probar la identidad de la persona que validó la operación es porque algo ha fallado, ha existido una brecha de seguridad que ha conllevado una fuga no consentida de dinero de la cuenta del cliente”.

https://www.noticiasdenavarra.com/sociedad/2023/04/26/condenado-banco-indemnizar-policia-navarra-672...