La Audiencia Provincial de Asturias (España) desestimó el recurso de apelación deducido por un banco que fue condenado a indemnizar a una cliente por el fraude bancario que sufrió tras utilizar su aplicación financiera, mediante la modalidad “phishing”. Constató que las fallas de seguridad del sistema posibilitaron la comisión del delito.
Según los hechos narrados, la mujer descargó la aplicación en su celular y siguió las instrucciones del banco para proceder a su instalación. Tras recibir un SMS presuntamente enviado por el banco, accedió al link contenido en este e ingresó sus datos personales. No obstante, posteriormente constató que su información había sido robada ya que se realizaron cuatro operaciones no autorizadas desde su cuenta bancaria. Los delincuentes habrían operado desde Países Bajos y Francia.
Tras el hecho demandó al banco para exigir una compensación económica, pretensión que fue acogida por el juez de instancia, quien condenó al banco a pagar 5.828,35 euros a la cliente, más intereses legales. El banco apeló el fallo, alegando que la demandante tuvo falta de cuidado pues, a su juicio, existieron indicios claros que daban cuenta a simple vista que el SMS era fraudulento, como la redacción y la dirección web proporcionada. Con el fin de aminorar su responsabilidad, el banco aseguró que periódicamente realizaba campañas para prevenir el “phishing”.
Noticia Relacionada
En su análisis de fondo, la Audiencia observa que, “(…) la apelante argumenta que la actuación de la actora propició que el ciberdelincuente pudiera salvar el mecanismo de seguridad reforzada establecido, al activar el servicio de biometría cuando no lo había solicitado, pues la entidad envió un SMS con un código a la cliente cuando el «ciberdelincuente» activó el registro de biometría, y a pesar de no haber solicitado la activación de este servicio, la ahora demandante, de forma absolutamente incomprensible -y, lógicamente, negligente- introdujo el código recibido confirmando la activación de este servicio”.
Señala que, “(…) al margen de que, ciertamente lo argumentado en orden a la forma de obtener las claves por parte del ciberdelincuente, no es tan claro como la parte pretende, pues efectivamente en el anexo al login de banca a distancia, de su informe se infiere que existen desde las 15,55 horas numerosas operaciones con errores por lo que no es descartable que se haya logrado por el tercero mediante un sistema de generación de código, en realidad, si ello fue realmente como lo asegura la apelante”.
Agrega que “(…) ello, teniendo presente que la actora lo que pretendía era dar de alta la aplicación en su teléfono, no tiene porqué conocer que tal mecanismo de seguridad solo se activa si es expresamente solicitado, y por el contrario pudo pensar que la iniciativa obedecía a la entidad financiera, e introdujo el código por estar interesada en este sistema de seguridad reforzada, que, es notorio, es un mecanismo que se está generalizando por los usuarios de este tipo de productos”.
La Audiencia concluye que “(…) los argumentos de la apelante están abocados al fracaso, desde el momento en que sus sistemas de seguridad no funcionaron en cuanto a las operaciones que son las que determinan la reclamación de la actora, y que ponen de manifiesto que el sistema de pagos instaurado por la apelante no es totalmente seguro, sino que está expuesto a fraudes como el de autos, sin que base para eludir su responsabilidad con la realización de las campañas a las que alude, sino que será necesario reforzar los mecanismos de seguridad”.
Al tenor de lo expuesto, la Audiencia desestimó el recurso y confirmó el fallo de instancia.